View a markdown version of this page

Configuration d'Amazon Quick sur ordinateur pour les déploiements en entreprise - Amazon Quick
Comment fonctionne la connexion d'entrepriseConditions préalablesÉtape 1 : créer une application OIDC dans votre fournisseur d'identitéÉtape 2 : créer un émetteur de jetons de confiance dans IAM Identity CenterÉtape 3 : configurer l'accès à l'extension dans la console de gestion Amazon QuickÉtape 4 : Téléchargez et distribuez l'application de bureauRésolution des problèmes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d'Amazon Quick sur ordinateur pour les déploiements en entreprise

   S’applique à : édition Enterprise et édition Standard 
   Public cible : administrateurs système 

Pour utiliser Amazon Quick sur ordinateur pour les déploiements en entreprise, les administrateurs doivent configurer l'authentification unique d'entreprise (SSO) afin que les utilisateurs de l'organisation puissent se connecter avec leurs informations d'identification professionnelles. Cette configuration connecte le fournisseur d'identité (IdP) compatible OpenID Connect (OIDC) de votre entreprise à Amazon Quick.

Note

Si vous utilisez un compte Free ou Plus, cette section ne s'applique pas à vous. Passez au Prise en main.

La configuration implique les étapes suivantes, dans l'ordre :

  1. Créez une application OIDC dans votre IdP.

  2. Créez un émetteur de jetons fiable (TTI) dans IAM Identity Center (uniquement requis pour les comptes qui utilisent IAM Identity Center pour l'authentification).

  3. Configurez l'accès à l'extension dans la console de gestion Amazon Quick.

  4. Distribuez l'application de bureau à vos utilisateurs.

Ce guide fournit des IdP-specific instructions pour Microsoft Entra ID, Okta et Ping Identity (PingFederate et PingOne). Consultez les instructions relatives à votre fournisseur d'identité spécifique ci-dessous.

Comment fonctionne la connexion d'entreprise

L'application de bureau Amazon Quick utilise le protocole OIDC pour authentifier les utilisateurs. Lorsqu'un utilisateur choisit la connexion Enterprise, l'application ouvre une fenêtre de navigateur et redirige vers le point de terminaison d'autorisation de votre IdP. L'application échange ensuite le code d'autorisation obtenu contre des jetons à l'aide de Proof Key for Code Exchange (PKCE).

Amazon Quick valide le jeton et associe l'utilisateur à une identité de votre compte. Pour les comptes qui utilisent IAM Identity Center, le TTI associe la email réclamation du jeton OIDC à l'emails.valueattribut du magasin d'identités. Pour les comptes qui utilisent la fédération IAM, Amazon Quick mappe directement l'utilisateur par e-mail. Dans les deux cas, l'adresse e-mail de votre IdP doit correspondre exactement à l'adresse e-mail de l'utilisateur dans Amazon Quick.

Conditions préalables

Avant de commencer, vérifiez que vous disposez des éléments suivants :

  • Un AWS compte avec un abonnement Amazon Quick actif qui utilise le centre d'identité IAM ou la fédération IAM pour l'authentification. La région d'origine du compte Amazon Quick (région d'identité) doit être USA Est (Virginie du Nord) (us-east-1).

  • Accès administrateur à votre compte Amazon Quick.

  • Accès à votre IdP avec les autorisations nécessaires pour créer des enregistrements d'applications OIDC.

Important

La région d'origine du compte Amazon Quick (région d'identité) doit être USA Est (Virginie du Nord) (us-east-1). Toutes les inférences pour l'application de bureau utilisent également cette région. Amazon Quick sur le Web peut être utilisé dans d'autres régions, mais l'application de bureau se connecte à us-east-1 à des fins d'authentification et d'inférence.

Étape 1 : créer une application OIDC dans votre fournisseur d'identité

Enregistrez une application cliente OIDC publique dans votre IdP. L'application de bureau Amazon Quick utilise ce client pour authentifier les utilisateurs via le flux de code d'autorisation avec PKCE. Aucun secret client n'est requis.

L'application de bureau nécessite des jetons d'actualisation pour maintenir des sessions de longue durée. La configuration des jetons d'actualisation dépend de votre IdP :

  • Microsoft Entra ID : le offline_access champ d'application doit être accordé. Sans cela, les utilisateurs doivent se réauthentifier fréquemment.

  • Okta — Le type d'autorisation Refresh Token doit être activé sur l'application, et la offline_access portée doit être accordée.

  • Identité Ping — Le type d'autorisation Refresh Token doit être activé et la offline_access portée doit être accordée. En PingFederate effet, le paramètre Return ID Token On Refresh Grant doit également être activé dans la politique OIDC.

Choisissez les instructions pour votre fournisseur d'identité.

Identifiant Microsoft Entra

Pour obtenir des instructions détaillées, voir Enregistrer une application dans la documentation Microsoft Entra.

Pour créer l'enregistrement de l'application Entra ID

  1. Sur le portail Azure, accédez à Microsoft Entra ID → Inscriptions d'applications → Nouvel enregistrement.

  2. Configurez les paramètres suivants :

    Paramètre Value
    Nom Amazon Quick Desktop
    Types de comptes pris en charge Comptes de ce répertoire organisationnel uniquement (locataire unique)
    Plateforme d'URI de redirection Public client/native (mobile et ordinateur de bureau)
    URI de redirection http://localhost:18080

  3. Choisissez S’inscrire.

  4. Sur la page Vue d'ensemble, notez l'ID de l'application (client) et l'ID du répertoire (locataire). Vous aurez besoin de ces valeurs dans les étapes ultérieures.

Il s'agit d'un enregistrement public pour les clients. Le PKCE est appliqué automatiquement par Entra ID pour les clients publics.

Pour configurer les autorisations d'API

  1. Lors de l'enregistrement de l'application, accédez à Autorisations d'API → Ajouter une autorisation → Microsoft Graph → Autorisations déléguées.

  2. Ajoutez les autorisations suivantes :openid,email,profile,offline_access.

  3. Choisissez Ajouter des autorisations.

  4. Si votre organisation l'exige, choisissez Accorder le consentement de l'administrateur pour [votre organisation].

Pour configurer les paramètres d'authentification

  1. Dans l'enregistrement de l'application, accédez à Authentification.

  2. Sous Paramètres avancés, définissez Autoriser les flux de clients publics sur Oui.

  3. Vérifiez que cela http://localhost:18080 est répertorié sous Applications mobiles et de bureau.

  4. Choisissez Enregistrer.

Vos points de terminaison OIDC utilisent le format suivant. <TENANT_ID>Remplacez-le par votre ID de répertoire (locataire).

Champ Value
URL de l’émetteur https://login.microsoftonline.com/<TENANT_ID>/v2.0
Point final d'autorisation https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize
Point de terminaison de jeton https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token
JWKS URI https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys

Okta

Pour obtenir des instructions détaillées, consultez la section Créer des intégrations d'applications OpenID Connect dans la documentation Okta.

Pour créer l'application native Okta OIDC

  1. Dans la console d'administration Okta, accédez à Applications → Applications → Créer une intégration d'applications.

  2. Sélectionnez OIDC - OpenID Connect comme méthode de connexion.

  3. Sélectionnez Application native comme type d'application, puis cliquez sur Suivant.

  4. Configurez les paramètres suivants :

    Paramètre Value
    Nom de l'intégration de l'application Amazon Quick Desktop
    Type de subvention Code d'autorisation et jeton d'actualisation
    Sign-in URI de redirection http://localhost:18080
    Missions Attribuer aux utilisateurs ou aux groupes appropriés

  5. Choisissez Enregistrer.

  6. Dans l'onglet Général, notez l'ID du client.

Le PKCE (S256) est appliqué automatiquement par Okta pour les applications natives.

Pour configurer des étendues

  1. Dans la console d'administration Okta, accédez à Sécurité → API → Serveurs d'autorisation et sélectionnez votre serveur d'autorisation (par exemple, par défaut).

  2. Dans l'onglet Étendue, vérifiez que les étendues suivantes sont activées :openid,,email,profile. offline_access

  3. Dans l'onglet Politiques d'accès, vérifiez que la politique attribuée à cette application autorise les types d'Refresh Tokenautorisation Authorization Code et d'autorisation.

Pour vérifier les paramètres d'authentification

  1. Dans l'intégration de l'application, accédez à l'onglet Général.

  2. Sous Paramètres généraux, vérifiez que le type d'application est natif, que l'authentification du client est Aucune (client public) et que PKCE est obligatoire.

  3. Sous LOGIN, vérifiez qu'il http://localhost:18080 est répertorié comme URI de redirection.

  4. Choisissez Enregistrer si vous avez apporté des modifications.

Vos points de terminaison OIDC utilisent le format suivant. <OKTA_DOMAIN>Remplacez-le par votre domaine Okta (par exemple,your-org.okta.com).

Champ Value
URL de l’émetteur https://<OKTA_DOMAIN>/oauth2/default
Point final d'autorisation https://<OKTA_DOMAIN>/oauth2/default/v1/authorize
Point de terminaison de jeton https://<OKTA_DOMAIN>/oauth2/default/v1/token
JWKS URI https://<OKTA_DOMAIN>/oauth2/default/v1/keys

Ping Identity

Choisissez les instructions pour votre produit Ping Identity.

PingFederate

Pour obtenir des instructions détaillées, consultez la section Configuration d'une application OIDC PingFederate dans la documentation de Ping Identity.

Pour créer le client PingFederate OIDC

  1. Dans la console d' PingFederate administration, accédez à Applications → OAuth → Clients, puis choisissez Ajouter un client.

  2. Dans le champ ID client, entrez un identifiant unique pour ce client.

  3. Dans le champ Nom, saisissez Amazon Quick Desktop.

  4. Pour l'authentification du client, sélectionnez Aucune.

  5. Dans la section URI de redirection, entrez http://localhost:18080 et choisissez Ajouter.

  6. Dans la liste des types de subventions autorisés, sélectionnez Code d'autorisation et Actualiser le jeton.

  7. Cochez la case Exiger une clé de preuve pour l'échange de code (PKCE).

  8. Sous Champs d'application communs, accordez les éléments suivants :openid,email,profile,offline_access.

  9. Choisissez Enregistrer.

  10. Notez l'ID du client. Vous aurez besoin de cette valeur lors des étapes ultérieures.

Pour configurer la politique OIDC

  1. Dans la console d' PingFederate administration, accédez à Applications → OAuth → OpenID Connect Policy Management.

  2. Sélectionnez la politique OIDC associée à ce client ou choisissez Ajouter une politique pour en créer une.

  3. Cochez la case Return ID Token on Refresh Grant. Cela garantit que l'application de bureau reçoit un nouveau jeton d'identification avec les demandes en cours lors de l'actualisation de la session.

  4. Sous Contrat d'attribut, vérifiez que la email réclamation est incluse et mappée à l'attribut utilisateur correspondant dans votre source d'authentification. La email réclamation doit être présente sous forme de jetons émis à la fois lors de l'authentification initiale et lors de l'attribution des jetons d'actualisation.

  5. Choisissez Enregistrer.

Vos points de terminaison OIDC utilisent le format suivant. <PINGFEDERATE_HOST>Remplacez-le par le nom d'hôte PingFederate de votre serveur.

Champ Value
URL de l’émetteur https://<PINGFEDERATE_HOST>
Point final d'autorisation https://<PINGFEDERATE_HOST>/as/authorization.oauth2
Point de terminaison de jeton https://<PINGFEDERATE_HOST>/as/token.oauth2
JWKS URI https://<PINGFEDERATE_HOST>/pf/JWKS

PingOne

Pour obtenir des instructions détaillées, consultez la section Modification d'une application — native dans la documentation de Ping Identity.

Pour créer l'application native PingOne OIDC

  1. Dans la console PingOne d'administration, allez dans Applications → Applications et choisissez l'icône +.

  2. Entrez Amazon Quick Desktop comme nom de l'application.

  3. Dans la section Type d'application, sélectionnez Native, puis cliquez sur Enregistrer.

  4. Dans l'onglet Configuration, choisissez Modifier et configurez les paramètres suivants :

    Paramètre Value
    Type de réponse Code
    Type de subvention Code d'autorisation et jeton d'actualisation
    Application de la PKCE S256
    URI de redirection http://localhost:18080
    Méthode d'authentification Token Endpoint Aucune

  5. Choisissez Enregistrer.

  6. Dans l'onglet Ressources, ajoutez les étendues suivantes :openid,, emailprofile,offline_access.

  7. Dans l'onglet Mappages d'attributs, vérifiez que l'emailattribut est mappé à l'adresse e-mail de l'utilisateur.

  8. Basculez l'application sur Activé.

  9. Notez l'ID client et l'ID d'environnement dans l'onglet Configuration.

Note

Le PingOne domaine varie selon les régions. Les exemples ci-dessous utilisent.com. Remplacez le domaine par celui de votre environnement (par exemple.ca,.eu, ou.asia).

Vos points de terminaison OIDC utilisent le format suivant. <ENV_ID>Remplacez-le par votre identifiant d' PingOne environnement.

Champ Value
URL de l’émetteur https://auth.pingone.com/<ENV_ID>/as
Point final d'autorisation https://auth.pingone.com/<ENV_ID>/as/authorize
Point de terminaison de jeton https://auth.pingone.com/<ENV_ID>/as/token
JWKS URI https://auth.pingone.com/<ENV_ID>/as/jwks

Étape 2 : créer un émetteur de jetons de confiance dans IAM Identity Center

Note

Cette étape n'est requise que si votre compte Amazon Quick utilise Gestion des identités et des accès AWS Identity Center pour l'authentification. Si votre compte utilise la fédération IAM, ignorez cette étape et passez à l'étape 3.

Le TTI indique à IAM Identity Center de faire confiance aux jetons de votre IdP et indique comment les associer aux utilisateurs d'IAM Identity Center. Vous pouvez créer le TTI dans la console Gestion des identités et des accès AWS Identity Center ou à l'aide de la AWS CLI.

Pour plus d'informations, consultez la section Configuration d'un émetteur de jetons de confiance dans le guide de l'utilisateur Gestion des identités et des accès AWS d'Identity Center.

Pour créer le TTI dans la console IAM Identity Center

  1. Ouvrez la console Gestion des identités et des accès AWS Identity Center.

  2. Cliquez sur Paramètres.

  3. Sur la page Paramètres, choisissez l'onglet Authentification.

  4. Sous Émetteurs de jetons fiables, choisissez Créer un émetteur de jetons de confiance.

  5. Sur la page Configurer un IdP externe pour émettre des jetons sécurisés, sous Détails de l'émetteur de jetons fiables, configurez les éléments suivants :

    Champ Value
    URL de l’émetteur L'URL de l'émetteur OIDC de l'étape 1 (voir le tableau ci-dessous)
    Nom de l'émetteur de jetons fiable AmazonQuickDesktop

  6. Sous Attributs de mappage, configurez le mappage d'attributs utilisé par IAM Identity Center pour rechercher des utilisateurs :

    Champ Value
    Attribut du fournisseur d'identité La réclamation contenue dans le jeton IdP qui identifie l'utilisateur (par exemple,) email
    Attribut IAM Identity Center L'attribut correspondant dans la banque d'identités IAM Identity Center (par exemple,emails.value)
    Important

    L'attribut du fournisseur d'identité doit correspondre à une réclamation que votre IdP inclut dans le jeton, et l'attribut IAM Identity Center doit identifier de manière unique l'utilisateur dans votre magasin d'identités. Le mappage le plus courant est emailemails.value, mais votre organisation peut utiliser un attribut différent, tel qu'subune réclamation personnalisée. La valeur de la demande de jeton doit correspondre exactement à la valeur de l'attribut correspondant dans IAM Identity Center.

  7. Choisissez Créer un émetteur de jetons approuvés.

  8. Notez l'ARN de l'émetteur de jetons fiable. Vous en avez besoin à l’étape suivante.

Sinon, pour créer le TTI avec la AWS CLI, exécutez la commande suivante. <IDC_INSTANCE_ARN>Remplacez-le par le nom de ressource Amazon (ARN) de votre instance IAM Identity Center et <ISSUER_URL> par l'URL de l'émetteur indiquée à l'étape 1.

aws sso-admin create-trusted-token-issuer \
  --instance-arn <IDC_INSTANCE_ARN> \
  --name "AmazonQuickDesktop" \
  --trusted-token-issuer-type OIDC_JWT \
  --trusted-token-issuer-configuration '{
    "OidcJwtConfiguration": {
      "IssuerUrl": "<ISSUER_URL>",
      "ClaimAttributePath": "email",
      "IdentityStoreAttributePath": "emails.value",
      "JwksRetrievalOption": "OPEN_ID_DISCOVERY"
    }
  }'

Notez le TrustedTokenIssuerArn contenu de la sortie. Vous en avez besoin à l’étape suivante.

Le tableau suivant répertorie l'URL de l'émetteur pour chaque fournisseur d'identité.

Fournisseur d’identité URL de l’émetteur
Identifiant Microsoft Entra https://login.microsoftonline.com/<TENANT_ID>/v2.0
Okta https://<OKTA_DOMAIN>/oauth2/default
PingFederate https://<PINGFEDERATE_HOST>
PingOne https://auth.pingone.com/<ENV_ID>/as

Étape 3 : configurer l'accès à l'extension dans la console de gestion Amazon Quick

Pour ajouter l'accès à l'extension

  1. Connectez-vous à la console de gestion Amazon Quick.

  2. Sous Autorisations, choisissez Accès aux extensions.

  3. Choisissez Ajouter un accès à l'extension.

  4. (Facultatif) Si votre compte utilise IAM Identity Center, l'étape de configuration de l'émetteur de jetons sécurisés apparaît. Saisissez :

    Champ Value
    ARN de l'émetteur de jetons de confiance Le TrustedTokenIssuerArn à partir de l'étape 2
    Réclamation d'aide L'ID client de l'étape 1

    Cette étape ne s'affiche pas pour les comptes qui utilisent la fédération IAM.

  5. Sélectionnez l'application de bureau pour l'extension rapide et choisissez Next.

  6. Entrez les détails de l'extension Amazon Quick :

    Champ Value
    Nom Un nom pour cet accès à l'extension
    Description (Facultatif) Une description
    URL de l’émetteur URL de l'émetteur OIDC de l'étape 1
    Endpoint d'autorisation URL du point de terminaison d'autorisation OIDC de l'étape 1
    Point de terminaison Tok URL du point de terminaison du jeton OIDC de l'étape 1
    JWKS URI L'URI du jeu de clés Web JSON à partir de l'étape 1
    ID de client L'identifiant du client OIDC de l'étape 1

  7. Choisissez Ajouter.

    Important

    Vérifiez que toutes les valeurs sont correctes avant de choisir Ajouter. La configuration d'accès à l'extension ne peut pas être modifiée après sa création. Si une valeur est incorrecte, vous devez supprimer l'accès à l'extension et en créer un nouveau.

Pour créer l'extension

  1. Dans la console Amazon Quick, dans le menu de navigation de gauche, sous Connect apps and data, sélectionnez Extensions.

  2. Choisissez Ajouter une extension.

  3. Sélectionnez l'application de bureau pour un accès rapide aux extensions que vous avez créée précédemment. Choisissez Suivant.

  4. Choisissez Créer.

Étape 4 : Téléchargez et distribuez l'application de bureau

Après avoir configuré la connexion d'entreprise, vérifiez la configuration en téléchargeant et en installant vous-même l'application de bureau. Choisissez Enterprise Login sur l'écran de connexion et authentifiez-vous à l'aide de vos informations d'identification professionnelles pour confirmer que la configuration fonctionne. Pour les étapes de téléchargement et d'installation, voirPrise en main.

Si la connexion échoue, vérifiez les valeurs que vous avez saisies à l'étape 3 par rapport aux points de terminaison OIDC de l'étape 1. Si une valeur est incorrecte, supprimez l'accès à l'extension sous Autorisations → Accès à l'extension, et répétez l'étape 3 avec les valeurs correctes.

Après avoir vérifié la configuration, dirigez vos utilisateurs vers Prise en main les instructions de téléchargement, d'installation et de connexion.

Résolution des problèmes

redirect_mismatchErreur

Vérifiez que l'URI de redirection dans votre IdP est exacte http://localhost:18080 et qu'elle est configurée en tant que client public ou plate-forme native.

Utilisateur introuvable après la connexion

L'e-mail contenu dans le jeton IdP doit correspondre exactement à l'e-mail d'un utilisateur dans IAM Identity Center. Vérifiez que l'utilisateur est configuré et que les adresses e-mail sont identiques dans les deux systèmes.

Échec de validation du jeton

Vérifiez que l'URL de l'émetteur dans le TTI correspond exactement à l'URL de l'émetteur dans la configuration OIDC de votre IdP.

Erreurs de consentement ou d'autorisation (Microsoft Entra ID)

Accordez le consentement de l'administrateur pour les autorisations d'API requises sur le portail Azure. Accédez à la page des autorisations d'API de l'enregistrement de l'application et choisissez Accorder le consentement de l'administrateur pour [votre organisation].

La session expire fréquemment

Vérifiez que votre IdP est configuré pour émettre des jetons d'actualisation. Pour Microsoft Entra ID, le offline_access champ d'application est requis. Pour Okta, le type d'autorisation Refresh Token doit être activé et la offline_access portée doit être accordée. Pour Ping Identity, le type d'autorisation Refresh Token doit être activé et la offline_access portée doit être accordée. Pour PingFederate, vérifiez également que l'option Return ID Token On Refresh Grant est sélectionnée dans la politique OIDC.

invalid_scopeerreur (Okta)

Vérifiez qu'il offline_access est activé sur votre serveur d'autorisation. Accédez à Sécurité → API → Serveurs d'autorisation → Par défaut → Étendue et vérifiez que la portée est présente. Vérifiez également que la politique d'accès de l'application autorise le type de subvention Refresh Token.

Application non activée (PingOne)

Si l'authentification échoue immédiatement sans atteindre la page de PingOne connexion, vérifiez que le bouton d'activation de l'application est défini sur Activé dans la console PingOne d'administration.

Demande d'e-mail manquante après l'actualisation (PingFederate)

Vérifiez que la email réclamation est incluse dans le contrat d'attribut de la politique OIDC et mappée à l'attribut utilisateur approprié. Le mappage doit produire la email demande d'attribution de jetons d'authentification initiale et d'actualisation.