Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration d'Amazon Quick sur ordinateur pour les déploiements en entreprise
<a name="desktop-enterprise-setup"></a>


|  | 
| --- |
|    S’applique à : édition Enterprise et édition Standard  | 


|  | 
| --- |
|    Public cible : administrateurs système  | 

Pour utiliser Amazon Quick sur ordinateur pour les déploiements en entreprise, les administrateurs doivent configurer l'authentification unique d'entreprise (SSO) afin que les utilisateurs de l'organisation puissent se connecter avec leurs informations d'identification professionnelles. Cette configuration connecte le fournisseur d'identité (IdP) compatible OpenID Connect (OIDC) de votre entreprise à Amazon Quick.

**Note**  
Si vous utilisez un compte Free ou Plus, cette section ne s'applique pas à vous. Passez au [Prise en main](getting-started-desktop.md).

La configuration implique les étapes suivantes, dans l'ordre :

1. Créez une application OIDC dans votre IdP.

1. Créez un émetteur de jetons fiable (TTI) dans IAM Identity Center (uniquement requis pour les comptes qui utilisent IAM Identity Center pour l'authentification).

1. Configurez l'accès à l'extension dans la console de gestion Amazon Quick.

1. Distribuez l'application de bureau à vos utilisateurs.

Ce guide fournit des IdP-specific instructions pour Microsoft Entra ID, Okta et Ping Identity (PingFederate et PingOne). Consultez les instructions relatives à votre fournisseur d'identité spécifique ci-dessous.

## Comment fonctionne la connexion d'entreprise
<a name="desktop-enterprise-how-it-works"></a>

L'application de bureau Amazon Quick utilise le protocole OIDC pour authentifier les utilisateurs. Lorsqu'un utilisateur choisit la **connexion Enterprise**, l'application ouvre une fenêtre de navigateur et redirige vers le point de terminaison d'autorisation de votre IdP. L'application échange ensuite le code d'autorisation obtenu contre des jetons à l'aide de Proof Key for Code Exchange (PKCE).

Amazon Quick valide le jeton et associe l'utilisateur à une identité de votre compte. Pour les comptes qui utilisent IAM Identity Center, le TTI associe la `email` réclamation du jeton OIDC à l'`emails.value`attribut du magasin d'identités. Pour les comptes qui utilisent la fédération IAM, Amazon Quick mappe directement l'utilisateur par e-mail. Dans les deux cas, l'adresse e-mail de votre IdP doit correspondre exactement à l'adresse e-mail de l'utilisateur dans Amazon Quick.

## Conditions préalables
<a name="desktop-enterprise-prerequisites"></a>

Avant de commencer, vérifiez que vous disposez des éléments suivants :
+ Un AWS compte avec un abonnement Amazon Quick actif qui utilise le centre d'identité IAM ou la fédération IAM pour l'authentification. La région d'origine du compte Amazon Quick (région d'identité) doit être USA Est (Virginie du Nord) (us-east-1).
+ Accès administrateur à votre compte Amazon Quick.
+ Accès à votre IdP avec les autorisations nécessaires pour créer des enregistrements d'applications OIDC.

**Important**  
La région d'origine du compte Amazon Quick (région d'identité) doit être USA Est (Virginie du Nord) (us-east-1). Toutes les inférences pour l'application de bureau utilisent également cette région. Amazon Quick sur le Web peut être utilisé dans d'autres régions, mais l'application de bureau se connecte à us-east-1 à des fins d'authentification et d'inférence.

## Étape 1 : créer une application OIDC dans votre fournisseur d'identité
<a name="desktop-enterprise-step1"></a>

Enregistrez une application cliente OIDC publique dans votre IdP. L'application de bureau Amazon Quick utilise ce client pour authentifier les utilisateurs via le flux de code d'autorisation avec PKCE. Aucun secret client n'est requis.

L'application de bureau nécessite des jetons d'actualisation pour maintenir des sessions de longue durée. La configuration des jetons d'actualisation dépend de votre IdP :
+ **Microsoft Entra ID** : le `offline_access` champ d'application doit être accordé. Sans cela, les utilisateurs doivent se réauthentifier fréquemment.
+ **Okta** — Le type d'autorisation Refresh Token doit être activé sur l'application, et la `offline_access` portée doit être accordée.
+ **Identité Ping** — Le type d'autorisation Refresh Token doit être activé et la `offline_access` portée doit être accordée. En PingFederate effet, le paramètre **Return ID Token On Refresh Grant** doit également être activé dans la politique OIDC.

Choisissez les instructions pour votre fournisseur d'identité.

### Identifiant Microsoft Entra
<a name="desktop-enterprise-entra-id"></a>

Pour obtenir des instructions détaillées, voir [Enregistrer une application](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app) dans la documentation Microsoft Entra.

**Pour créer l'enregistrement de l'application Entra ID**

1. Sur le portail Azure, accédez à **Microsoft Entra ID → Inscriptions d'applications → Nouvel enregistrement**.

1. Configurez les paramètres suivants :    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/desktop-enterprise-setup.html)

1. Choisissez **S’inscrire**.

1. Sur la page **Vue d'ensemble**, notez l'ID de **l'application (client) et l'ID** du **répertoire (locataire)**. Vous aurez besoin de ces valeurs dans les étapes ultérieures.

Il s'agit d'un enregistrement public pour les clients. Le PKCE est appliqué automatiquement par Entra ID pour les clients publics.

**Pour configurer les autorisations d'API**

1. Lors de l'enregistrement de l'application, accédez à **Autorisations d'API → Ajouter une autorisation → Microsoft Graph → Autorisations déléguées**.

1. Ajoutez les autorisations suivantes :`openid`,`email`,`profile`,`offline_access`.

1. Choisissez **Ajouter des autorisations**.

1. Si votre organisation l'exige, choisissez **Accorder le consentement de l'administrateur pour [votre organisation]**.

**Pour configurer les paramètres d'authentification**

1. Dans l'enregistrement de l'application, accédez à **Authentification**.

1. Sous **Paramètres avancés**, définissez **Autoriser les flux de clients publics** sur **Oui**.

1. Vérifiez que cela `http://localhost:18080` est répertorié sous **Applications mobiles et de bureau**.

1. Choisissez **Enregistrer**.

Vos points de terminaison OIDC utilisent le format suivant. `<TENANT_ID>`Remplacez-le par votre ID de répertoire (locataire).


| Champ | Value | 
| --- | --- | 
| URL de l’émetteur | https://login.microsoftonline.com/<TENANT\_ID>/v2.0 | 
| Point final d'autorisation | https://login.microsoftonline.com/<TENANT\_ID>/oauth2/v2.0/authorize | 
| Point de terminaison de jeton | https://login.microsoftonline.com/<TENANT\_ID>/oauth2/v2.0/token | 
| JWKS URI | https://login.microsoftonline.com/<TENANT\_ID>/discovery/v2.0/keys | 

### Okta
<a name="desktop-enterprise-okta"></a>

Pour obtenir des instructions détaillées, consultez la section [Créer des intégrations d'applications OpenID Connect](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_oidc.htm) dans la documentation Okta.

**Pour créer l'application native Okta OIDC**

1. Dans la console d'administration Okta, accédez à **Applications → Applications → Créer une intégration d'applications**.

1. Sélectionnez **OIDC - OpenID** Connect comme méthode de connexion.

1. Sélectionnez **Application native** comme type d'application, puis cliquez sur **Suivant**.

1. Configurez les paramètres suivants :    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/desktop-enterprise-setup.html)

1. Choisissez **Enregistrer**.

1. Dans l'onglet **Général**, notez l'**ID du client**.

Le PKCE (S256) est appliqué automatiquement par Okta pour les applications natives.

**Pour configurer des étendues**

1. Dans la console d'administration Okta, accédez à **Sécurité → API → Serveurs d'autorisation** et sélectionnez votre serveur d'autorisation (par exemple, **par défaut**).

1. Dans l'onglet **Étendue**, vérifiez que les étendues suivantes sont activées :`openid`,,`email`,`profile`. `offline_access`

1. Dans l'onglet **Politiques d'accès**, vérifiez que la politique attribuée à cette application autorise les types d'`Refresh Token`autorisation `Authorization Code` et d'autorisation.

**Pour vérifier les paramètres d'authentification**

1. Dans l'intégration de l'application, accédez à l'onglet **Général**.

1. Sous **Paramètres généraux**, vérifiez que le type d'application est **natif**, que l'authentification du client est **Aucune** (client public) et que PKCE est **obligatoire**.

1. Sous **LOGIN**, vérifiez qu'il `http://localhost:18080` est répertorié comme URI de redirection.

1. Choisissez **Enregistrer** si vous avez apporté des modifications.

Vos points de terminaison OIDC utilisent le format suivant. `<OKTA_DOMAIN>`Remplacez-le par votre domaine Okta (par exemple,`your-org.okta.com`).


| Champ | Value | 
| --- | --- | 
| URL de l’émetteur | https://<OKTA\_DOMAIN>/oauth2/default | 
| Point final d'autorisation | https://<OKTA\_DOMAIN>/oauth2/default/v1/authorize | 
| Point de terminaison de jeton | https://<OKTA\_DOMAIN>/oauth2/default/v1/token | 
| JWKS URI | https://<OKTA\_DOMAIN>/oauth2/default/v1/keys | 

### Ping Identity
<a name="desktop-enterprise-ping-identity"></a>

Choisissez les instructions pour votre produit Ping Identity.

#### PingFederate
<a name="desktop-enterprise-pingfederate"></a>

Pour obtenir des instructions détaillées, consultez la section [Configuration d'une application OIDC PingFederate dans](https://docs.pingidentity.com/solution-guides/customer_use_cases/htg_oidc_app_setup_pf.html) la documentation de Ping Identity.

**Pour créer le client PingFederate OIDC**

1. Dans la console d' PingFederate administration, accédez à **Applications → OAuth → Clients, puis** choisissez **Ajouter** un client.

1. Dans le champ **ID client**, entrez un identifiant unique pour ce client.

1. Dans le champ **Nom**, saisissez `Amazon Quick Desktop`.

1. Pour l'**authentification du client**, sélectionnez **Aucune**.

1. Dans la section **URI de redirection**, entrez `http://localhost:18080` et choisissez **Ajouter**.

1. Dans la liste des **types de subventions autorisés**, sélectionnez **Code d'autorisation** et **Actualiser le jeton**.

1. Cochez la case **Exiger une clé de preuve pour l'échange de code (PKCE)**.

1. Sous **Champs d'application communs**, accordez les éléments suivants :`openid`,`email`,`profile`,`offline_access`.

1. Choisissez **Enregistrer**.

1. Notez l'**ID du client**. Vous aurez besoin de cette valeur lors des étapes ultérieures.

**Pour configurer la politique OIDC**

1. Dans la console d' PingFederate administration, accédez à **Applications → OAuth → OpenID Connect** Policy Management.

1. Sélectionnez la politique OIDC associée à ce client ou choisissez **Ajouter une politique** pour en créer une.

1. Cochez la case **Return ID Token on Refresh Grant**. Cela garantit que l'application de bureau reçoit un nouveau jeton d'identification avec les demandes en cours lors de l'actualisation de la session.

1. Sous **Contrat d'attribut**, vérifiez que la `email` réclamation est incluse et mappée à l'attribut utilisateur correspondant dans votre source d'authentification. La `email` réclamation doit être présente sous forme de jetons émis à la fois lors de l'authentification initiale et lors de l'attribution des jetons d'actualisation.

1. Choisissez **Enregistrer**.

Vos points de terminaison OIDC utilisent le format suivant. `<PINGFEDERATE_HOST>`Remplacez-le par le nom d'hôte PingFederate de votre serveur.


| Champ | Value | 
| --- | --- | 
| URL de l’émetteur | https://<PINGFEDERATE\_HOST> | 
| Point final d'autorisation | https://<PINGFEDERATE\_HOST>/as/authorization.oauth2 | 
| Point de terminaison de jeton | https://<PINGFEDERATE\_HOST>/as/token.oauth2 | 
| JWKS URI | https://<PINGFEDERATE\_HOST>/pf/JWKS | 

#### PingOne
<a name="desktop-enterprise-pingone"></a>

Pour obtenir des instructions détaillées, consultez la section [Modification d'une application — native](https://docs.pingidentity.com/pingone/applications/p1_edit_application_native.html) dans la documentation de Ping Identity.

**Pour créer l'application native PingOne OIDC**

1. Dans la console PingOne d'administration, allez dans **Applications → Applications** et choisissez l'icône **\+**.

1. Entrez `Amazon Quick Desktop` comme nom de l'application.

1. Dans la section **Type d'application**, sélectionnez **Native**, puis cliquez **sur Enregistrer**.

1. Dans l'onglet **Configuration**, choisissez **Modifier** et configurez les paramètres suivants :    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/desktop-enterprise-setup.html)

1. Choisissez **Enregistrer**.

1. Dans l'onglet **Ressources**, ajoutez les étendues suivantes :`openid`,, `email``profile`,`offline_access`.

1. Dans l'onglet **Mappages d'attributs**, vérifiez que l'`email`attribut est mappé à l'adresse e-mail de l'utilisateur.

1. Basculez l'application sur **Activé.**

1. Notez l'**ID client** et **l'ID d'environnement** dans l'onglet **Configuration**.

**Note**  
Le PingOne domaine varie selon les régions. Les exemples ci-dessous utilisent`.com`. Remplacez le domaine par celui de votre environnement (par exemple`.ca`,`.eu`, ou`.asia`).

Vos points de terminaison OIDC utilisent le format suivant. `<ENV_ID>`Remplacez-le par votre identifiant d' PingOne environnement.


| Champ | Value | 
| --- | --- | 
| URL de l’émetteur | https://auth.pingone.com/<ENV\_ID>/as | 
| Point final d'autorisation | https://auth.pingone.com/<ENV\_ID>/as/authorize | 
| Point de terminaison de jeton | https://auth.pingone.com/<ENV\_ID>/as/token | 
| JWKS URI | https://auth.pingone.com/<ENV\_ID>/as/jwks | 

## Étape 2 : créer un émetteur de jetons de confiance dans IAM Identity Center
<a name="desktop-enterprise-step2"></a>

**Note**  
Cette étape n'est requise que si votre compte Amazon Quick utilise Gestion des identités et des accès AWS Identity Center pour l'authentification. Si votre compte utilise la fédération IAM, ignorez cette étape et passez à l'étape 3.

Le TTI indique à IAM Identity Center de faire confiance aux jetons de votre IdP et indique comment les associer aux utilisateurs d'IAM Identity Center. Vous pouvez créer le TTI dans la console Gestion des identités et des accès AWS Identity Center ou à l'aide de la AWS CLI.

Pour plus d'informations, consultez la section [Configuration d'un émetteur de jetons de confiance](https://docs.aws.amazon.com/singlesignon/latest/userguide/setuptrustedtokenissuer.html) dans le *guide de l'utilisateur Gestion des identités et des accès AWS d'Identity Center*.

**Pour créer le TTI dans la console IAM Identity Center**

1. Ouvrez la [console Gestion des identités et des accès AWS Identity Center](https://console.aws.amazon.com/singlesignon).

1. Cliquez sur **Paramètres**.

1. Sur la page **Paramètres**, choisissez l'onglet **Authentification**.

1. Sous **Émetteurs de jetons fiables**, choisissez **Créer un émetteur de jetons de confiance**.

1. Sur la page **Configurer un IdP externe pour émettre des jetons sécurisés**, sous **Détails de l'émetteur de jetons fiables**, configurez les éléments suivants :    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/desktop-enterprise-setup.html)

1. Sous **Attributs de mappage**, configurez le mappage d'attributs utilisé par IAM Identity Center pour rechercher des utilisateurs :    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/desktop-enterprise-setup.html)
**Important**  
L'attribut du fournisseur d'identité doit correspondre à une réclamation que votre IdP inclut dans le jeton, et l'attribut IAM Identity Center doit identifier de manière unique l'utilisateur dans votre magasin d'identités. Le mappage le plus courant est `email` →`emails.value`, mais votre organisation peut utiliser un attribut différent, tel qu'`sub`une réclamation personnalisée. La valeur de la demande de jeton doit correspondre exactement à la valeur de l'attribut correspondant dans IAM Identity Center.

1. Choisissez **Créer un émetteur de jetons approuvés**.

1. Notez l'**ARN de l'émetteur de jetons fiable**. Vous en avez besoin à l’étape suivante.

Sinon, pour créer le TTI avec la AWS CLI, exécutez la commande suivante. `<IDC_INSTANCE_ARN>`Remplacez-le par le nom de ressource Amazon (ARN) de votre instance IAM Identity Center et `<ISSUER_URL>` par l'URL de l'émetteur indiquée à l'étape 1.

```
aws sso-admin create-trusted-token-issuer \
  --instance-arn <IDC_INSTANCE_ARN> \
  --name "AmazonQuickDesktop" \
  --trusted-token-issuer-type OIDC_JWT \
  --trusted-token-issuer-configuration '{
    "OidcJwtConfiguration": {
      "IssuerUrl": "<ISSUER_URL>",
      "ClaimAttributePath": "email",
      "IdentityStoreAttributePath": "emails.value",
      "JwksRetrievalOption": "OPEN_ID_DISCOVERY"
    }
  }'
```

Notez le `TrustedTokenIssuerArn` contenu de la sortie. Vous en avez besoin à l’étape suivante.

Le tableau suivant répertorie l'URL de l'émetteur pour chaque fournisseur d'identité.


| Fournisseur d’identité | URL de l’émetteur | 
| --- | --- | 
| Identifiant Microsoft Entra | https://login.microsoftonline.com/<TENANT\_ID>/v2.0 | 
| Okta | https://<OKTA\_DOMAIN>/oauth2/default | 
| PingFederate | https://<PINGFEDERATE\_HOST> | 
| PingOne | https://auth.pingone.com/<ENV\_ID>/as | 

## Étape 3 : configurer l'accès à l'extension dans la console de gestion Amazon Quick
<a name="desktop-enterprise-step3"></a>

**Pour ajouter l'accès à l'extension**

1. Connectez-vous à la console de gestion Amazon Quick.

1. Sous **Autorisations**, choisissez **Accès aux extensions**.

1. Choisissez **Ajouter un accès à l'extension**.

1. (Facultatif) Si votre compte utilise IAM Identity Center, l'étape de **configuration de l'émetteur de jetons sécurisés** apparaît. Saisissez :    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/desktop-enterprise-setup.html)

   Cette étape ne s'affiche pas pour les comptes qui utilisent la fédération IAM.

1. Sélectionnez l'**application de bureau pour l'extension rapide** et choisissez **Next**.

1. Entrez les détails de l'extension Amazon Quick :    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/desktop-enterprise-setup.html)

1. Choisissez **Ajouter**.
**Important**  
Vérifiez que toutes les valeurs sont correctes avant de choisir **Ajouter**. La configuration d'accès à l'extension ne peut pas être modifiée après sa création. Si une valeur est incorrecte, vous devez supprimer l'accès à l'extension et en créer un nouveau.

**Pour créer l'extension**

1. Dans la console Amazon Quick, dans le menu de navigation de gauche, sous **Connect apps and data**, sélectionnez **Extensions**.

1. Choisissez **Ajouter une extension**.

1. Sélectionnez l'**application de bureau pour un accès rapide** aux extensions que vous avez créée précédemment. Choisissez **Suivant**.

1. Choisissez **Créer**.

## Étape 4 : Téléchargez et distribuez l'application de bureau
<a name="desktop-enterprise-step4"></a>

Après avoir configuré la connexion d'entreprise, vérifiez la configuration en téléchargeant et en installant vous-même l'application de bureau. Choisissez **Enterprise Login** sur l'écran de connexion et authentifiez-vous à l'aide de vos informations d'identification professionnelles pour confirmer que la configuration fonctionne. Pour les étapes de téléchargement et d'installation, voir[Prise en main](getting-started-desktop.md).

Si la connexion échoue, vérifiez les valeurs que vous avez saisies à l'étape 3 par rapport aux points de terminaison OIDC de l'étape 1. Si une valeur est incorrecte, supprimez l'accès à l'extension sous **Autorisations → Accès à l'extension**, et répétez l'étape 3 avec les valeurs correctes.

Après avoir vérifié la configuration, dirigez vos utilisateurs vers [Prise en main](getting-started-desktop.md) les instructions de téléchargement, d'installation et de connexion.

## Résolution des problèmes
<a name="desktop-enterprise-troubleshooting"></a>

`redirect_mismatch`Erreur   
Vérifiez que l'URI de redirection dans votre IdP est exacte `http://localhost:18080` et qu'elle est configurée en tant que client public ou plate-forme native.

Utilisateur introuvable après la connexion  
L'e-mail contenu dans le jeton IdP doit correspondre exactement à l'e-mail d'un utilisateur dans IAM Identity Center. Vérifiez que l'utilisateur est configuré et que les adresses e-mail sont identiques dans les deux systèmes.

Échec de validation du jeton  
Vérifiez que l'URL de l'émetteur dans le TTI correspond exactement à l'URL de l'émetteur dans la configuration OIDC de votre IdP.

Erreurs de consentement ou d'autorisation (Microsoft Entra ID)  
Accordez le consentement de l'administrateur pour les autorisations d'API requises sur le portail Azure. Accédez à la page des **autorisations d'API de l'enregistrement de l'**application et choisissez **Accorder le consentement de l'administrateur pour [votre organisation]**.

La session expire fréquemment  
Vérifiez que votre IdP est configuré pour émettre des jetons d'actualisation. Pour Microsoft Entra ID, le `offline_access` champ d'application est requis. Pour Okta, le type d'autorisation Refresh Token doit être activé et la `offline_access` portée doit être accordée. Pour Ping Identity, le type d'autorisation Refresh Token doit être activé et la `offline_access` portée doit être accordée. Pour PingFederate, vérifiez également que l'option **Return ID Token On Refresh Grant** est sélectionnée dans la politique OIDC.

`invalid_scope`erreur (Okta)  
Vérifiez qu'il `offline_access` est activé sur votre serveur d'autorisation. Accédez à **Sécurité → API → Serveurs d'autorisation → Par défaut → Étendue** et vérifiez que la portée est présente. Vérifiez également que la politique d'accès de l'application autorise le type de subvention Refresh Token.

Application non activée (PingOne)  
Si l'authentification échoue immédiatement sans atteindre la page de PingOne connexion, vérifiez que le bouton d'activation de l'application est défini sur **Activé** dans la console PingOne d'administration.

Demande d'e-mail manquante après l'actualisation (PingFederate)  
Vérifiez que la `email` réclamation est incluse dans le **contrat d'attribut** de la politique OIDC et mappée à l'attribut utilisateur approprié. Le mappage doit produire la `email` demande d'attribution de jetons d'authentification initiale et d'actualisation.