View a markdown version of this page

Configuración de Amazon Quick en ordenadores de sobremesa para despliegues empresariales - Amazon Quick
Cómo funciona el inicio de sesión empresarialRequisitos previosPaso 1: Cree una aplicación OIDC en su proveedor de identidadPaso 2: Cree un emisor de token de confianza en el IAM Identity CenterPaso 3: Configurar el acceso a la extensión en la consola de administración de Amazon QuickPaso 4: Descargue y distribuya la aplicación de escritorioResolución de problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de Amazon Quick en ordenadores de sobremesa para despliegues empresariales

   Se aplica a: Enterprise Edition y Standard Edition 
   Público al que va dirigido: administradores de sistemas 

Para usar Amazon Quick on desktop para implementaciones empresariales, los administradores deben configurar el inicio de sesión único (SSO) empresarial para que los usuarios de la organización puedan iniciar sesión con sus credenciales corporativas. Esta configuración conecta el proveedor de identidad (IdP) compatible con OpenID Connect (OIDC) de su organización con Amazon Quick.

nota

Si utilizas una cuenta gratuita o una cuenta Plus, esta sección no se aplica a tu caso. Siga en Introducción.

La configuración implica los siguientes pasos, en orden:

  1. Cree una aplicación OIDC en su IdP.

  2. Cree un emisor de token de confianza (TTI) en el centro de identidad de IAM (solo es necesario para las cuentas que utilizan el centro de identidad de IAM para la autenticación).

  3. Configure el acceso a la extensión en la consola de administración de Amazon Quick.

  4. Distribuya la aplicación de escritorio entre sus usuarios.

Esta guía proporciona instrucciones específicas de IdP para Microsoft Entra ID, Okta y Google PingOne Workspace. Consulta las instrucciones para tu proveedor de identidad específico a continuación.

Cómo funciona el inicio de sesión empresarial

La aplicación de escritorio Amazon Quick utiliza el protocolo OIDC para autenticar a los usuarios. Cuando un usuario selecciona el inicio de sesión empresarial, la aplicación abre una ventana del navegador y la redirige al punto de autorización de su IdP. A continuación, la aplicación intercambia el código de autorización resultante por tokens mediante Proof Key for Code Exchange (PKCE).

Amazon Quick valida el token y asigna al usuario a una identidad de tu cuenta. En el caso de las cuentas que utilizan el Centro de Identidad de IAM, el TTI asigna la email afirmación del token OIDC al emails.value atributo del almacén de identidades. En el caso de las cuentas que utilizan la federación de IAM, Amazon Quick asigna directamente al usuario por correo electrónico. En ambos casos, la dirección de correo electrónico de tu IDP debe coincidir exactamente con la dirección de correo electrónico del usuario de Amazon Quick.

Requisitos previos

Antes de empezar, compruebe que dispone de lo siguiente:

  • Una AWS cuenta con una suscripción a Amazon Quick activa que utiliza el Centro de identidad de IAM o la federación de IAM para la autenticación. La región de origen de la cuenta Amazon Quick (región de identidad) debe ser EE. UU. Este (Virginia del Norte) (us-east-1).

  • Acceso de administrador a tu cuenta de Amazon Quick.

  • Acceso a su IdP con permisos para crear registros de aplicaciones OIDC.

importante

La región de origen de la cuenta Amazon Quick (región de identidad) debe ser EE. UU. Este (Virginia del Norte) (us-east-1). Todas las inferencias para la aplicación de escritorio también utilizan esta región. Si bien Amazon Quick en la web se puede utilizar en otras regiones, la aplicación de escritorio se conecta a us-east-1 tanto para la autenticación como para la inferencia.

Paso 1: Cree una aplicación OIDC en su proveedor de identidad

Registre una aplicación cliente OIDC pública en su IdP. La aplicación de escritorio Amazon Quick utiliza este cliente para autenticar a los usuarios mediante el flujo de códigos de autorización con PKCE. No se requiere ningún secreto de cliente.

La aplicación de escritorio requiere tokens de actualización para mantener sesiones de larga duración. La forma en que se configuran los tokens de actualización depende de su IdP:

  • Microsoft Entra ID: se debe conceder el offline_access alcance. Sin él, los usuarios deben volver a autenticarse con frecuencia.

  • Okta: el tipo de concesión Refresh Token debe estar habilitado en la aplicación y el offline_access alcance debe estar otorgado.

  • PingOne— El tipo de concesión Refresh Token debe estar activado. El offline_access alcance es opcional, pero se recomienda.

  • Google Workspace: los tokens de actualización se devuelven automáticamente para las aplicaciones de escritorio. No se necesita configuración adicional.

Elige las instrucciones para tu proveedor de identidad.

ID de Microsoft Entra

Para crear el registro de la aplicación Entra ID

  1. En el portal de Azure, vaya a Microsoft Entra ID → Registros de aplicaciones → Nuevo registro.

  2. Configure los siguientes ajustes:

    Opción Valor
    Name Amazon Quick Desktop
    Tipos de cuentas compatibles Solo cuentas de este directorio organizativo (arrendatario único)
    Plataforma de URL de redireccionamiento Pública client/native (móvil y de escritorio)
    URL de redireccionamiento http://localhost:18080

  3. Elija Registro.

  4. En la página de descripción general, anote el ID de la aplicación (cliente) y el ID del directorio (inquilino). Necesitará estos valores en los pasos posteriores.

Se trata de un registro de cliente público. Entra ID aplica automáticamente el PKCE para los clientes públicos.

Para configurar los permisos de la API

  1. En el registro de la aplicación, vaya a Permisos de API → Añadir un permiso → Microsoft Graph → Permisos delegados.

  2. Agregue los siguientes permisos:openid,, emailprofile,offline_access.

  3. Elija Añadir permisos.

  4. Si su organización lo requiere, elija Otorgar el consentimiento de administrador para [su organización].

Para configurar los ajustes de autenticación

  1. En el registro de la aplicación, vaya a Autenticación.

  2. En Configuración avanzada, establece Permitir flujos de clientes públicos en .

  3. Verifica http://localhost:18080 que aparezca en la lista de Aplicaciones móviles y de escritorio.

  4. Seleccione Save.

Los puntos finales del OIDC utilizan el siguiente formato. <TENANT_ID>Sustitúyalo por tu ID de directorio (inquilino).

Campo Valor
URL del emisor https://login.microsoftonline.com/<TENANT_ID>/v2.0
Punto de conexión de autorización https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize
Punto de conexión de token https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token
JWKS URI https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys

Okta

Para crear la aplicación nativa OIDC de Okta

  1. En la consola de administración de Okta, vaya a Aplicaciones → Aplicaciones → Crear integración de aplicaciones.

  2. Seleccione OIDC - OpenID Connect como método de inicio de sesión.

  3. Seleccione Aplicación nativa como tipo de aplicación y, a continuación, elija Siguiente.

  4. Configure los siguientes ajustes:

    Opción Valor
    Nombre de la integración de la aplicación Amazon Quick Desktop
    Tipo de subvención Código de autorización y token de actualización
    Redirección de inicio de sesión URIs http://localhost:18080
    Tareas Asigne a los usuarios o grupos apropiados

  5. Seleccione Save.

  6. En la pestaña General, anote el ID de cliente.

Okta aplica automáticamente el PKCE (S256) para las aplicaciones nativas.

Para configurar los ámbitos

  1. En la integración de aplicaciones, vaya a la pestaña Ámbitos de la API de Okta.

  2. Otorgue los siguientes ámbitos:openid,,,email. profile offline_access

nota

Si utiliza un servidor de autorización personalizado, compruebe que estos ámbitos también estén habilitados en Seguridad → API → Servidores de autorización → predeterminado → Ámbitos.

Para comprobar la configuración de autenticación

  1. En la integración de aplicaciones, vaya a la pestaña General.

  2. En Configuración general, confirme que el tipo de aplicación es nativo, que la autenticación del cliente es Ninguna (cliente público) y que se requiere el PKCE.

  3. En INICIO DE SESIÓN, confirme http://localhost:18080 que aparezca como URI de redireccionamiento.

  4. Selecciona Guardar si has realizado algún cambio.

Los puntos finales del OIDC utilizan el siguiente formato. <OKTA_DOMAIN>Sustitúyalo por tu dominio de Okta (por ejemplo,). your-org.okta.com

Campo Valor
URL del emisor https://<OKTA_DOMAIN>/oauth2/default
Punto de conexión de autorización https://<OKTA_DOMAIN>/oauth2/default/v1/authorize
Punto de conexión de token https://<OKTA_DOMAIN>/oauth2/default/v1/token
JAKS URI https://<OKTA_DOMAIN>/oauth2/default/v1/keys

PingOne

Para crear la aplicación nativa del PingOne OIDC

  1. En la Consola de PingOne administración, vaya a Aplicaciones → Aplicaciones → + (Agregar aplicación).

  2. Amazon Quick DesktopIntrodúzcalo como nombre de la aplicación.

  3. Seleccione OIDC Native App como tipo de aplicación y, a continuación, seleccione Guardar.

  4. En la pestaña Configuración, elija Editar y configure los siguientes ajustes:

    Opción Valor
    Tipo de respuesta Código
    Tipos de subvenciones Código de autorización y token de actualización
    Cumplimiento de la PKCE S256
    Redirigir URIs http://localhost:18080
    Método de autenticación Token Endpoint Ninguno

  5. Seleccione Save.

  6. En la pestaña Recursos, agregue los siguientes ámbitos:openid,email,profile.

  7. Cambie la aplicación a Habilitada.

  8. Anote el ID de cliente y el ID de entorno en la pestaña Configuración.

Para comprobar la configuración de autenticación

  1. En la Consola de PingOne administración, vaya a Aplicaciones → Aplicaciones y seleccione la aplicación Amazon Quick Desktop.

  2. En la pestaña Configuración, confirme que el tipo de respuesta es código, los tipos de concesión incluyen el código de autorización y el token de actualización, el cumplimiento del PKCE es S256 y el método de autenticación del token de punto final es ninguno.

  3. Confirme que http://localhost:18080 aparezca como URI de redireccionamiento.

  4. Confirme que el conmutador de la aplicación esté configurado como Habilitado.

Los puntos finales del OIDC utilizan el siguiente formato. Sustitúyalo por <ENV_ID> el ID de su entorno. PingOne

nota

El PingOne dominio varía según la región. En los ejemplos que aparecen a continuación se utiliza.com. Sustituya el dominio por el de su entorno (por ejemplo,.ca,.eu, o.asia).

Campo Valor
URL del emisor https://auth.pingone.com/<ENV_ID>/as
Punto de conexión de autorización https://auth.pingone.com/<ENV_ID>/as/authorize
Punto de conexión de token https://auth.pingone.com/<ENV_ID>/as/token
JAKS URI https://auth.pingone.com/<ENV_ID>/as/jwks

Workspace de Google

Para crear el cliente de escritorio Google OAuth 2.0

  1. En Google Cloud Console, vaya a APIs& Servicios → Credenciales → Crear credenciales → ID de OAuth cliente.

  2. Selecciona Aplicación de escritorio como tipo de aplicación.

  3. Defina el nombre enAmazon Quick Desktop.

  4. Seleccione Crear.

  5. Anote el ID de cliente del cuadro de diálogo de confirmación.

nota

Google emite un secreto de cliente para las aplicaciones de escritorio, pero no se trata de forma confidencial para las aplicaciones instaladas. La aplicación de escritorio usa el flujo de códigos de autorización con PKCE; el secreto de cliente es opcional en el intercambio de tokens.

Para configurar la pantalla de OAuth consentimiento

  1. En Google Cloud Console, dirígete a la pantalla APIs & Servicios → OAuth consentimiento.

  2. Selecciona Interno como tipo de usuario. Esto restringe la autenticación a los usuarios de tu organización de Google Workspace.

  3. Configure los siguientes ajustes:

    Opción Valor
    Nombre de la aplicación Amazon Quick Desktop
    Correo electrónico de asistencia al usuario Tu correo electrónico de administrador o de soporte
    Dominios autorizados El dominio de su organización

  4. En Ámbitos, agrega lo siguiente:openid,email,profile.

  5. Seleccione Guardar y continuar.

Para comprobar la configuración de autenticación

  1. Vaya a APIs & Servicios → Credenciales.

  2. Seleccione el OAuth cliente Amazon Quick Desktop.

  3. Confirme que el tipo de aplicación es de escritorio y que el ID de cliente está presente.

  4. En Redirección autorizada URIs, confirma que aparezca en http://localhost:18080 la lista. Si falta, agréguelo manualmente.

Los puntos de conexión del OIDC son los mismos para todos los usuarios de Google Workspace:

Campo Valor
URL del emisor https://accounts.google.com
Punto de conexión de autorización https://accounts.google.com/o/oauth2/v2/auth
Punto de conexión de token https://oauth2.googleapis.com/token
JAKS URI https://www.googleapis.com/oauth2/v3/certs
Documento de descubrimiento https://accounts.google.com/.well-known/openid-configuration

Paso 2: Cree un emisor de token de confianza en el IAM Identity Center

nota

Este paso solo es necesario si tu cuenta de Amazon Quick utiliza AWS Identity and Access Management Identity Center para la autenticación. Si su cuenta utiliza la federación de IAM, omita este paso y continúe con el paso 3.

El TTI indica al Centro de Identidad de IAM que confíe en los tokens de su IdP y cómo asignarlos a los usuarios del Centro de Identidad de IAM. Puede crear el TTI en la consola de AWS Identity and Access Management Identity Center o con la AWS CLI.

Para crear el TTI con la AWS CLI, ejecute el siguiente comando. <IDC_INSTANCE_ARN>Sustitúyala por el Amazon Resource Name (ARN) de la instancia de IAM Identity Center <ISSUER_URL> y por la URL del emisor del paso 1.

aws sso-admin create-trusted-token-issuer \
  --instance-arn <IDC_INSTANCE_ARN> \
  --name "AmazonQuickDesktop" \
  --trusted-token-issuer-type OIDC_JWT \
  --trusted-token-issuer-configuration '{
    "OidcJwtConfiguration": {
      "IssuerUrl": "<ISSUER_URL>",
      "ClaimAttributePath": "email",
      "IdentityStoreAttributePath": "emails.value",
      "JwksRetrievalOption": "OPEN_ID_DISCOVERY"
    }
  }'

Anote lo que aparece en el TrustedTokenIssuerArn resultado. Lo necesitará en el siguiente paso.

En la siguiente tabla se muestra la URL del emisor de cada proveedor de identidad.

Proveedor de identidades URL del emisor
ID de Microsoft Entra https://login.microsoftonline.com/<TENANT_ID>/v2.0
Okta https://<OKTA_DOMAIN>/oauth2/default
PingOne https://auth.pingone.com/<ENV_ID>/as
Workspace de Google https://accounts.google.com

Paso 3: Configurar el acceso a la extensión en la consola de administración de Amazon Quick

Para añadir la extensión, acceda

  1. Inicia sesión en la consola de administración de Amazon Quick.

  2. En Permisos, selecciona Acceso a extensiones.

  3. Selecciona Añadir acceso a extensiones.

  4. (Opcional) Si su cuenta utiliza el Centro de identidad de IAM, aparece el paso de configuración del emisor de token confiable. Introduzca lo siguiente:

    Campo Valor
    ARN de emisor de token de confianza El del paso TrustedTokenIssuerArn 2
    Notificación de audiencia El ID de cliente del paso 1

    Este paso no aparece en las cuentas que utilizan la federación de IAM.

  5. Seleccione la aplicación de escritorio para la extensión Quick y pulse Siguiente.

  6. Introduce los detalles de la extensión Amazon Quick:

    Campo Valor
    Name Un nombre para el acceso a esta extensión
    Description (Descripción) (Opcional) Una descripción
    URL del emisor La URL del emisor del OIDC del paso 1
    Punto final de autorización La URL del punto de enlace de autorización del OIDC del paso 1
    Punto final del token La URL del punto final del token OIDC del paso 1
    JWKS URI El URI del conjunto de claves web JSON del paso 1
    ID de cliente El identificador de cliente OIDC del paso 1

  7. Elija Añadir.

Para crear la extensión

  1. En la consola Amazon Quick, en el menú de navegación de la izquierda, en Conectar aplicaciones y datos, selecciona Extensiones.

  2. Selecciona Añadir extensión.

  3. Seleccione la aplicación de escritorio para acceder rápidamente a la extensión que creó anteriormente. Elija Next (Siguiente).

  4. Seleccione Create (Crear).

Paso 4: Descargue y distribuya la aplicación de escritorio

Tras configurar el inicio de sesión empresarial, compruebe la configuración descargando e instalando usted mismo la aplicación de escritorio. Selecciona el inicio de sesión empresarial en la pantalla de inicio de sesión y autentícate con tus credenciales corporativas para confirmar que la configuración funciona. Para ver los pasos de descarga e instalación, consulte. Introducción

Tras comprobar la configuración, pida a los usuarios que consulten las Introducción instrucciones de descarga, instalación e inicio de sesión.

Resolución de problemas

Error redirect_mismatch

Compruebe que el URI de redireccionamiento de su IdP sea exacto http://localhost:18080 y esté configurado como un cliente público o una plataforma nativa.

No se encontró el usuario después de iniciar sesión

El correo electrónico del token de IdP debe coincidir exactamente con el correo electrónico de un usuario del IAM Identity Center. Compruebe que el usuario esté aprovisionado y que las direcciones de correo electrónico sean idénticas en ambos sistemas.

Fallo en la validación del token

Compruebe que la URL del emisor en el TTI coincide exactamente con la URL del emisor en la configuración OIDC de su IdP.

Errores de consentimiento o permiso (Microsoft Entra ID)

Otorgue el consentimiento del administrador para los permisos de API necesarios en el portal de Azure. Vaya a la página de permisos de la API del registro de la aplicación y elija Otorgar el consentimiento de administrador para [su organización].

La sesión caduca con frecuencia

Compruebe que su IdP esté configurado para emitir tokens de actualización. Para Microsoft Entra ID, se requiere el offline_access alcance. En el caso de Okta, el tipo de concesión Refresh Token debe estar activado y el offline_access ámbito debe estar concedido. Para ello PingOne, el tipo de concesión Refresh Token debe estar habilitado.

invalid_scopeerror (Okta)

Compruebe que offline_access se concede en la pestaña Ámbitos de la API de Okta. Si utiliza un servidor de autorización personalizado, compruebe que el ámbito esté activado en Seguridad → API → Servidores de autorización → predeterminado → Ámbitos.

La aplicación no está habilitada () PingOne

Si la autenticación falla inmediatamente sin llegar a la página de inicio de PingOne sesión, compruebe que el conmutador de la aplicación esté activado en la Consola de PingOne administración.

access_deniederror (Google Workspace)

Por lo general, esto significa que la pantalla de OAuth consentimiento está configurada como Interna y que el usuario no es miembro de tu organización de Google Workspace. Comprueba que la cuenta de Google del usuario pertenezca al dominio de tu organización.