Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configuración de Amazon Quick en ordenadores de sobremesa para despliegues empresariales
<a name="desktop-enterprise-setup"></a>


|  | 
| --- |
|    Se aplica a: Enterprise Edition y Standard Edition  | 


|  | 
| --- |
|    Público al que va dirigido: administradores de sistemas  | 

Para usar Amazon Quick on desktop para implementaciones empresariales, los administradores deben configurar el inicio de sesión único (SSO) empresarial para que los usuarios de la organización puedan iniciar sesión con sus credenciales corporativas. Esta configuración conecta el proveedor de identidad (IdP) compatible con OpenID Connect (OIDC) de su organización con Amazon Quick.

**nota**  
Si utilizas una cuenta gratuita o una cuenta Plus, esta sección no se aplica a tu caso. Siga en [Introducción](getting-started-desktop.md).

La configuración implica los siguientes pasos, en orden:

1. Cree una aplicación OIDC en su IdP.

1. Cree un emisor de token de confianza (TTI) en el centro de identidad de IAM (solo es necesario para las cuentas que utilizan el centro de identidad de IAM para la autenticación).

1. Configure el acceso a la extensión en la consola de administración de Amazon Quick.

1. Distribuya la aplicación de escritorio a sus usuarios.

Esta guía proporciona IdP-specific instrucciones para Microsoft Entra ID, Okta y Ping Identity (PingFederate y PingOne). Consulta las instrucciones para tu proveedor de identidad específico a continuación.

## Cómo funciona el inicio de sesión empresarial
<a name="desktop-enterprise-how-it-works"></a>

La aplicación de escritorio Amazon Quick utiliza el protocolo OIDC para autenticar a los usuarios. Cuando un usuario selecciona el inicio de **sesión empresarial**, la aplicación abre una ventana del navegador y la redirige al punto de autorización de su IdP. A continuación, la aplicación intercambia el código de autorización resultante por tokens mediante Proof Key for Code Exchange (PKCE).

Amazon Quick valida el token y asigna al usuario a una identidad de tu cuenta. En el caso de las cuentas que utilizan el Centro de Identidad de IAM, el TTI asigna la `email` afirmación del token OIDC al `emails.value` atributo del almacén de identidades. En el caso de las cuentas que utilizan la federación de IAM, Amazon Quick asigna directamente al usuario por correo electrónico. En ambos casos, la dirección de correo electrónico de tu IDP debe coincidir exactamente con la dirección de correo electrónico del usuario de Amazon Quick.

## Requisitos previos
<a name="desktop-enterprise-prerequisites"></a>

Antes de empezar, compruebe que dispone de lo siguiente:
+ Una AWS cuenta con una suscripción a Amazon Quick activa que utiliza el Centro de identidad de IAM o la federación de IAM para la autenticación. La región de origen de la cuenta Amazon Quick (región de identidad) debe ser EE. UU. Este (Virginia del Norte) (us-east-1).
+ Acceso de administrador a tu cuenta de Amazon Quick.
+ Acceso a su IdP con permisos para crear registros de aplicaciones OIDC.

**importante**  
La región de origen de la cuenta Amazon Quick (región de identidad) debe ser EE. UU. Este (Virginia del Norte) (us-east-1). Todas las inferencias para la aplicación de escritorio también utilizan esta región. Si bien Amazon Quick en la web se puede utilizar en otras regiones, la aplicación de escritorio se conecta a us-east-1 tanto para la autenticación como para la inferencia.

## Paso 1: Cree una aplicación OIDC en su proveedor de identidad
<a name="desktop-enterprise-step1"></a>

Registre una aplicación cliente OIDC pública en su IdP. La aplicación de escritorio Amazon Quick utiliza este cliente para autenticar a los usuarios mediante el flujo de códigos de autorización con PKCE. No se requiere ningún secreto de cliente.

La aplicación de escritorio requiere tokens de actualización para mantener sesiones de larga duración. La forma en que se configuran los tokens de actualización depende de su IdP:
+ **Microsoft Entra ID**: se debe conceder el `offline_access` alcance. Sin él, los usuarios deben volver a autenticarse con frecuencia.
+ **Okta**: el tipo de concesión Refresh Token debe estar habilitado en la aplicación y el `offline_access` alcance debe estar otorgado.
+ **Identidad de ping**: el tipo de concesión del token de actualización debe estar habilitado y el `offline_access` alcance debe estar otorgado. **En este PingFederate caso, la configuración de la concesión de devolución del token de ID al actualizar** también debe estar habilitada en la política de la OIDC.

Elige las instrucciones para tu proveedor de identidad.

### ID de Microsoft Entra
<a name="desktop-enterprise-entra-id"></a>

Para obtener instrucciones detalladas, consulte [Registrar una aplicación](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app) en la documentación de Microsoft Entra.

**Para crear el registro de la aplicación Entra ID**

1. En el portal de Azure, vaya a **Microsoft Entra ID → Registros de aplicaciones → Nuevo registro**.

1. Configure los siguientes ajustes:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/quick/latest/userguide/desktop-enterprise-setup.html)

1. Elija **Registro**.

1. En la página de **descripción general**, anote el ID de la **aplicación (cliente) y el ID** del **directorio (inquilino)**. Necesitará estos valores en los pasos posteriores.

Se trata de un registro de cliente público. Entra ID aplica automáticamente el PKCE para los clientes públicos.

**Para configurar los permisos de la API**

1. En el registro de la aplicación, vaya a **Permisos de API → Añadir un permiso → Microsoft Graph → Permisos delegados**.

1. Agregue los siguientes permisos:`openid`,, `email``profile`,`offline_access`.

1. Elija **Añadir permisos**.

1. Si su organización lo requiere, elija **Otorgar el consentimiento de administrador para [su organización]**.

**Para configurar los ajustes de autenticación**

1. En el registro de la aplicación, vaya a **Autenticación**.

1. En **Configuración avanzada**, establece **Permitir flujos de clientes públicos** en **Sí**.

1. Verifica `http://localhost:18080` que aparezca en la lista de **Aplicaciones móviles y de escritorio**.

1. Seleccione **Save**.

Los puntos finales del OIDC utilizan el siguiente formato. `<TENANT_ID>`Sustitúyalo por tu ID de directorio (inquilino).


| Campo | Valor | 
| --- | --- | 
| URL del emisor | https://login.microsoftonline.com/<TENANT\_ID>/v2.0 | 
| Punto de conexión de autorización | https://login.microsoftonline.com/<TENANT\_ID>/oauth2/v2.0/authorize | 
| Punto de conexión de token | https://login.microsoftonline.com/<TENANT\_ID>/oauth2/v2.0/token | 
| JWKS URI | https://login.microsoftonline.com/<TENANT\_ID>/discovery/v2.0/keys | 

### Okta
<a name="desktop-enterprise-okta"></a>

Para obtener instrucciones detalladas, consulte [Crear integraciones de aplicaciones OpenID Connect](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_oidc.htm) en la documentación de Okta.

**Para crear la aplicación nativa OIDC de Okta**

1. En la consola de administración de Okta, vaya a **Aplicaciones → Aplicaciones → Crear integración de aplicaciones**.

1. Seleccione **OIDC - OpenID Connect** como método de inicio de sesión.

1. **Seleccione **Aplicación nativa como tipo de aplicación** y, a continuación, elija Siguiente.**

1. Configure los siguientes ajustes:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/quick/latest/userguide/desktop-enterprise-setup.html)

1. Seleccione **Save**.

1. En la pestaña **General**, anote el **ID de cliente**.

Okta aplica automáticamente el PKCE (S256) para las aplicaciones nativas.

**Para configurar los ámbitos**

1. En la consola de administración de Okta, vaya a **Seguridad → API → Servidores de autorización** y seleccione su servidor de autorización (por ejemplo, el **predeterminado**).

1. En la pestaña **Ámbitos**, compruebe que los siguientes ámbitos estén activados:`openid`,,,`email`. `profile` `offline_access`

1. En la pestaña **Políticas de acceso**, compruebe que la política asignada a esta aplicación permita los tipos de `Refresh Token` concesión `Authorization Code` y.

**Para comprobar la configuración de autenticación**

1. En la integración de aplicaciones, vaya a la pestaña **General**.

1. En **Configuración general**, confirme que el tipo de aplicación es **nativo**, que la autenticación del cliente es **Ninguna** (cliente público) y que se **requiere** el PKCE.

1. En **INICIO DE SESIÓN**, confirme `http://localhost:18080` que aparezca como URI de redireccionamiento.

1. Selecciona **Guardar** si has realizado algún cambio.

Los puntos finales del OIDC utilizan el siguiente formato. `<OKTA_DOMAIN>`Sustitúyalo por tu dominio de Okta (por ejemplo,). `your-org.okta.com`


| Campo | Valor | 
| --- | --- | 
| URL del emisor | https://<OKTA\_DOMAIN>/oauth2/default | 
| Punto de conexión de autorización | https://<OKTA\_DOMAIN>/oauth2/default/v1/authorize | 
| Punto de conexión de token | https://<OKTA\_DOMAIN>/oauth2/default/v1/token | 
| JAKS URI | https://<OKTA\_DOMAIN>/oauth2/default/v1/keys | 

### Ping Identity
<a name="desktop-enterprise-ping-identity"></a>

Elige las instrucciones para tu producto de Ping Identity.

#### PingFederate
<a name="desktop-enterprise-pingfederate"></a>

Para obtener instrucciones detalladas, consulte [Configuración de una aplicación OIDC PingFederate en la documentación](https://docs.pingidentity.com/solution-guides/customer_use_cases/htg_oidc_app_setup_pf.html) de Ping Identity.

**Para crear el cliente OIDC PingFederate**

1. **En la consola PingFederate administrativa, vaya a **Aplicaciones → OAuth → Clientes** y elija Agregar cliente.**

1. En el campo **ID de cliente**, introduce un identificador único para este cliente.

1. En el campo **Nombre**, escriba `Amazon Quick Desktop`.

1. Para la **autenticación del cliente**, seleccione **Ninguna**.

1. En la sección **URI de redirección**, introduzca `http://localhost:18080` y seleccione **Añadir**.

1. En la lista de **tipos de concesión permitidos**, seleccione **Código de autorización** y **Actualice el token**.

1. Seleccione la casilla de verificación **Requerir clave de prueba para el intercambio de códigos (PKCE)**.

1. En **Common Scopes**, conceda lo siguiente:`openid`,,,`email`. `profile` `offline_access`

1. Seleccione **Save**.

1. Anote el **ID de cliente.** Necesitará este valor en pasos posteriores.

**Para configurar la política de OIDC**

1. En la consola PingFederate administrativa, vaya a **Aplicaciones → OAuth → OpenID Connect** Policy Management.

1. Seleccione la política OIDC asociada a este cliente o elija **Agregar** política para crear una.

1. Seleccione la casilla de **verificación Return ID Token On Refresh Grant**. Esto garantiza que la aplicación de escritorio reciba un token de identificación nuevo con las notificaciones actuales al actualizar la sesión.

1. En el **apartado Contrato de atributos**, comprueba que la `email` afirmación esté incluida y asignada al atributo de usuario correspondiente en tu fuente de autenticación. La `email` afirmación debe estar presente en los tokens emitidos durante la autenticación inicial y la concesión de los tokens de actualización.

1. Seleccione **Save**.

Sus puntos de conexión OIDC utilizan el siguiente formato. Sustitúyalo por el `<PINGFEDERATE_HOST>` nombre de host del servidor. PingFederate 


| Campo | Valor | 
| --- | --- | 
| URL del emisor | https://<PINGFEDERATE\_HOST> | 
| Punto de conexión de autorización | https://<PINGFEDERATE\_HOST>/as/authorization.oauth2 | 
| Punto de conexión de token | https://<PINGFEDERATE\_HOST>/as/token.oauth2 | 
| JWKS URI | https://<PINGFEDERATE\_HOST>/pf/JWKS | 

#### PingOne
<a name="desktop-enterprise-pingone"></a>

Para obtener instrucciones detalladas, consulte [Edición de una aplicación nativa](https://docs.pingidentity.com/pingone/applications/p1_edit_application_native.html) en la documentación de Ping Identity.

**Para crear la aplicación nativa del PingOne OIDC**

1. En la consola de PingOne administración, vaya a **Aplicaciones → Aplicaciones** y seleccione el icono **\+**.

1. `Amazon Quick Desktop`Introdúzcalo como nombre de la aplicación.

1. En la sección **Tipo de aplicación**, seleccione **Nativa** y, a continuación, seleccione **Guardar**.

1. En la pestaña **Configuración**, elija **Editar** y configure los siguientes ajustes:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/quick/latest/userguide/desktop-enterprise-setup.html)

1. Seleccione **Save**.

1. En la pestaña **Recursos**, agregue los siguientes ámbitos:`openid`,, `email``profile`,`offline_access`.

1. En la pestaña **Asignaciones de atributos**, compruebe que el `email` atributo esté asignado a la dirección de correo electrónico del usuario.

1. **Cambie la aplicación a Habilitada.**

1. Anote el **ID de cliente** y **el ID de entorno** en la pestaña **Configuración**.

**nota**  
El PingOne dominio varía según la región. En los ejemplos que aparecen a continuación se utiliza`.com`. Sustituya el dominio por el de su entorno (por ejemplo,`.ca`,`.eu`, o`.asia`).

Sus puntos de conexión OIDC utilizan el siguiente formato. Sustitúyalo por `<ENV_ID>` el ID de su entorno. PingOne 


| Campo | Valor | 
| --- | --- | 
| URL del emisor | https://auth.pingone.com/<ENV\_ID>/as | 
| Punto de conexión de autorización | https://auth.pingone.com/<ENV\_ID>/as/authorize | 
| Punto de conexión de token | https://auth.pingone.com/<ENV\_ID>/as/token | 
| JAKS URI | https://auth.pingone.com/<ENV\_ID>/as/jwks | 

## Paso 2: Cree un emisor de token de confianza en el IAM Identity Center
<a name="desktop-enterprise-step2"></a>

**nota**  
Este paso solo es necesario si tu cuenta de Amazon Quick utiliza AWS Identity and Access Management Identity Center para la autenticación. Si su cuenta utiliza la federación de IAM, omita este paso y continúe con el paso 3.

El TTI indica al Centro de Identidad de IAM que confíe en los tokens de su IdP y cómo asignarlos a los usuarios del Centro de Identidad de IAM. Puede crear el TTI en la consola de AWS Identity and Access Management Identity Center o con la AWS CLI.

Para obtener más información, consulte [Configuración de un emisor de token de confianza](https://docs.aws.amazon.com/singlesignon/latest/userguide/setuptrustedtokenissuer.html) en la *Guía del usuario de AWS Identity and Access Management Identity Center*.

**Para crear el TTI en la consola de IAM Identity Center**

1. Abra la [consola de AWS Identity and Access Management Identity Center.](https://console.aws.amazon.com/singlesignon)

1. Seleccione **Configuración**.

1. En la página de **configuración**, seleccione la pestaña **Autenticación**.

1. En **Emisores de tokens de confianza**, seleccione **Crear emisor de tokens de confianza**.

1. En la página **Configurar un IdP externo para emitir tokens de confianza**, en **Detalles del emisor de token de confianza**, configure lo siguiente:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/quick/latest/userguide/desktop-enterprise-setup.html)

1. En **Atributos del mapa**, configure el mapeo de atributos que el Centro de Identidad de IAM utiliza para buscar usuarios:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/quick/latest/userguide/desktop-enterprise-setup.html)
**importante**  
El atributo del proveedor de identidad debe coincidir con una afirmación que su IdP incluya en el token, y el atributo del Centro de identidad de IAM debe identificar de forma exclusiva al usuario en su almacén de identidades. El mapeo más común es `email` →`emails.value`, pero su organización puede usar un atributo diferente, como una `sub` afirmación personalizada. El valor de la declaración del token debe coincidir exactamente con el valor del atributo correspondiente en el Centro de Identidad de IAM.

1. Seleccione **Crear emisor de tokens de confianza**.

1. Anote el **ARN del emisor del token de confianza.** Lo necesitará en el siguiente paso.

Como alternativa, para crear el TTI con la AWS CLI, ejecute el siguiente comando. `<IDC_INSTANCE_ARN>`Sustitúyala por el Amazon Resource Name (ARN) de la instancia de IAM Identity Center `<ISSUER_URL>` y por la URL del emisor del paso 1.

```
aws sso-admin create-trusted-token-issuer \
  --instance-arn <IDC_INSTANCE_ARN> \
  --name "AmazonQuickDesktop" \
  --trusted-token-issuer-type OIDC_JWT \
  --trusted-token-issuer-configuration '{
    "OidcJwtConfiguration": {
      "IssuerUrl": "<ISSUER_URL>",
      "ClaimAttributePath": "email",
      "IdentityStoreAttributePath": "emails.value",
      "JwksRetrievalOption": "OPEN_ID_DISCOVERY"
    }
  }'
```

Anote lo que aparece en el `TrustedTokenIssuerArn` resultado. Lo necesitará en el siguiente paso.

En la siguiente tabla se muestra la URL del emisor de cada proveedor de identidad.


| Proveedor de identidades | URL del emisor | 
| --- | --- | 
| ID de Microsoft Entra | https://login.microsoftonline.com/<TENANT\_ID>/v2.0 | 
| Okta | https://<OKTA\_DOMAIN>/oauth2/default | 
| PingFederate | https://<PINGFEDERATE\_HOST> | 
| PingOne | https://auth.pingone.com/<ENV\_ID>/as | 

## Paso 3: Configurar el acceso a la extensión en la consola de administración de Amazon Quick
<a name="desktop-enterprise-step3"></a>

**Para añadir la extensión, acceda**

1. Inicia sesión en la consola de administración de Amazon Quick.

1. En **Permisos**, selecciona **Acceso a extensiones**.

1. Selecciona **Añadir acceso a extensiones**.

1. (Opcional) Si su cuenta utiliza el Centro de identidad de IAM, aparece el paso de **configuración del emisor de token confiable**. Introduzca lo siguiente:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/quick/latest/userguide/desktop-enterprise-setup.html)

   Este paso no aparece en las cuentas que utilizan la federación de IAM.

1. Seleccione la **aplicación de escritorio para la extensión Quick** y pulse **Siguiente**.

1. Introduce los detalles de la extensión Amazon Quick:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/quick/latest/userguide/desktop-enterprise-setup.html)

1. Elija **Añadir**.
**importante**  
**Compruebe que todos los valores son correctos antes de elegir Añadir.** La configuración de acceso a la extensión no se puede editar después de la creación. Si algún valor es incorrecto, debe eliminar el acceso a la extensión y crear uno nuevo.

**Para crear la extensión**

1. En la consola Amazon Quick, en el menú de navegación de la izquierda, en **Conectar aplicaciones y datos**, selecciona **Extensiones**.

1. Selecciona **Añadir extensión**.

1. Seleccione la **aplicación de escritorio para acceder rápidamente** a la extensión que creó anteriormente. Elija **Next (Siguiente)**.

1. Seleccione **Create (Crear)**.

## Paso 4: Descargue y distribuya la aplicación de escritorio
<a name="desktop-enterprise-step4"></a>

Tras configurar el inicio de sesión empresarial, compruebe la configuración descargando e instalando usted mismo la aplicación de escritorio. Selecciona el inicio de **sesión empresarial** en la pantalla de inicio de sesión y autentícate con tus credenciales corporativas para confirmar que la configuración funciona. Para ver los pasos de descarga e instalación, consulte. [Introducción](getting-started-desktop.md)

Si se produce un error al iniciar sesión, compruebe los valores que ingresó en el paso 3 con los puntos finales del OIDC del paso 1. Si algún valor es incorrecto, elimine el acceso a la extensión en **Permisos → Acceso a la extensión** y repita el paso 3 con los valores correctos.

Tras comprobar la configuración, pida a los usuarios que consulten las [Introducción](getting-started-desktop.md) instrucciones de descarga, instalación e inicio de sesión.

## Resolución de problemas
<a name="desktop-enterprise-troubleshooting"></a>

Error `redirect_mismatch`  
Compruebe que el URI de redireccionamiento de su IdP sea exacto `http://localhost:18080` y esté configurado como un cliente público o una plataforma nativa.

No se encontró el usuario después de iniciar sesión  
El correo electrónico del token de IdP debe coincidir exactamente con el correo electrónico de un usuario del IAM Identity Center. Compruebe que el usuario esté aprovisionado y que las direcciones de correo electrónico sean idénticas en ambos sistemas.

Fallo en la validación del token  
Compruebe que la URL del emisor en el TTI coincide exactamente con la URL del emisor en la configuración OIDC de su IdP.

Errores de consentimiento o permiso (Microsoft Entra ID)  
Otorgue el consentimiento del administrador para los permisos de API necesarios en el portal de Azure. Vaya a la página de **permisos de la API** del registro de la aplicación y elija **Otorgar el consentimiento de administrador para [su organización]**.

La sesión caduca con frecuencia  
Compruebe que su IdP esté configurado para emitir tokens de actualización. Para Microsoft Entra ID, se requiere el `offline_access` alcance. En el caso de Okta, el tipo de concesión Refresh Token debe estar activado y el `offline_access` ámbito debe estar concedido. Para Ping Identity, el tipo de concesión Refresh Token debe estar habilitado y el `offline_access` alcance debe estar otorgado. Para ello PingFederate, compruebe también que la **concesión Return ID Token On Refresh** esté seleccionada en la política de la OIDC.

`invalid_scope`error (Okta)  
Compruebe que `offline_access` esté activado en su servidor de autorización. Vaya a **Seguridad → API → Servidores de autorización → Predeterminado → Ámbitos y** confirme que el ámbito está presente. Compruebe también que la política de acceso de la aplicación permita el tipo de concesión Refresh Token.

La aplicación no está habilitada (PingOne)  
Si la autenticación falla inmediatamente sin llegar a la página de inicio de PingOne sesión, comprueba que el conmutador de la aplicación **esté activado** en la consola de PingOne administración.

Falta la notificación por correo electrónico tras la actualización () PingFederate  
Compruebe que la `email` reclamación esté incluida en el **contrato de atributos de la política de la OIDC y que esté asignada al atributo** de usuario correcto. El mapeo debe generar la `email` solicitud tanto para la autenticación inicial como para la concesión del token de actualización.