Menyiapkan Amazon Quick di desktop untuk penerapan perusahaan

Berlaku untuk: Edisi Perusahaan dan Edisi Standar

Audiens yang dituju: Administrator sistem

Untuk menggunakan Amazon Quick di desktop untuk penerapan perusahaan, administrator harus mengonfigurasi sistem masuk tunggal perusahaan (SSO) sehingga pengguna di organisasi dapat masuk dengan kredenal perusahaan mereka. Penyiapan ini menghubungkan penyedia identitas yang kompatibel dengan OpenID Connect (OIDC) organisasi Anda ke Amazon Quick.

catatan

Jika Anda menggunakan akun Gratis atau Plus, bagian ini tidak berlaku untuk Anda. Lanjutkan ke Memulai.

Pengaturan melibatkan langkah-langkah berikut, secara berurutan:

1. Buat aplikasi OIDC di IDP Anda.

2. Buat Penerbit Token Tepercaya (TTI) di Pusat Identitas IAM (hanya diperlukan untuk akun yang menggunakan Pusat Identitas IAM untuk otentikasi).

3. Konfigurasikan akses ekstensi di konsol manajemen Amazon Quick.

4. Bagikan aplikasi desktop ke pengguna Anda.

Panduan ini memberikan IdP-specific petunjuk untuk Microsoft Entra ID, Okta, dan Ping Identity (PingFederate dan PingOne). Lihat petunjuk untuk penyedia identitas spesifik Anda di bawah ini.

Cara kerja masuk perusahaan

Aplikasi desktop Amazon Quick menggunakan protokol OIDC untuk mengautentikasi pengguna. Saat pengguna memilih login Enterprise, aplikasi membuka jendela browser dan mengalihkan ke titik akhir otorisasi IDP Anda. Aplikasi kemudian menukar kode otorisasi yang dihasilkan untuk token menggunakan Kunci Bukti untuk Pertukaran Kode (PKCE).

Amazon Quick memvalidasi token dan memetakan pengguna ke identitas di akun Anda. Untuk akun yang menggunakan IAM Identity Center, TTI memetakan email klaim dalam token OIDC ke emails.value atribut di penyimpanan identitas. Untuk akun yang menggunakan federasi IAM, Amazon Quick memetakan pengguna melalui email secara langsung. Dalam kedua kasus tersebut, alamat email di IDP Anda harus sama persis dengan alamat email pengguna di Amazon Quick.

Prasyarat

Sebelum Anda mulai, verifikasi bahwa Anda memiliki yang berikut:

• AWS Akun dengan langganan Amazon Quick aktif yang menggunakan IAM Identity Center atau federasi IAM untuk otentikasi. Wilayah asal akun Amazon Quick (wilayah identitas) harus US East (Virginia N.) (us-east-1).

• Akses administrator ke akun Amazon Quick Anda.

• Akses ke IDP Anda dengan izin untuk membuat pendaftaran aplikasi OIDC.

penting

Wilayah asal akun Amazon Quick (wilayah identitas) harus US East (Virginia N.) (us-east-1). Semua inferensi untuk aplikasi desktop juga menggunakan Wilayah ini. Meskipun Amazon Quick di web dapat digunakan di Wilayah lain, aplikasi desktop terhubung ke us-east-1 untuk otentikasi dan inferensi.

Langkah 1: Buat aplikasi OIDC di penyedia identitas Anda

Daftarkan aplikasi klien OIDC publik di IDP Anda. Aplikasi desktop Amazon Quick menggunakan klien ini untuk mengautentikasi pengguna melalui aliran kode otorisasi dengan PKCE. Tidak ada rahasia klien yang diperlukan.

Aplikasi desktop membutuhkan token penyegaran untuk mempertahankan sesi yang berumur panjang. Cara penyegaran token dikonfigurasi tergantung pada IDP Anda:

• Microsoft Entra ID — Ruang offline_access lingkup harus diberikan. Tanpa itu, pengguna harus sering melakukan autentikasi ulang.

• Okta — Jenis hibah Token Refresh harus diaktifkan pada aplikasi, dan offline_access ruang lingkup harus diberikan.

• Identitas Ping — Jenis hibah Token Refresh harus diaktifkan, dan offline_access ruang lingkup harus diberikan. Untuk PingFederate, pengaturan Return ID Token On Refresh Grant juga harus diaktifkan dalam kebijakan OIDC.

Pilih instruksi untuk penyedia identitas Anda.

ID Microsoft Entra

Untuk petunjuk selengkapnya, lihat Mendaftarkan aplikasi di dokumentasi Microsoft Entra.

Untuk membuat pendaftaran aplikasi Entra ID

1. Di portal Azure, navigasikan ke Microsoft Entra ID → Pendaftaran aplikasi → Pendaftaran baru.

2. Konfigurasikan pengaturan berikut:

   Pengaturan	Nilai
   Nama	Amazon Quick Desktop
   Jenis akun yang didukung	Akun di direktori organisasi ini saja (Penyewa tunggal)
   Platform URI pengalihan	Publik client/native (seluler & desktop)
   Mengalihkan URI	http://localhost:18080

3. PilihPendaftaran.

4. Pada halaman Ikhtisar, catat ID Aplikasi (klien) dan ID Direktori (penyewa). Anda membutuhkan nilai-nilai ini di langkah selanjutnya.

Ini adalah pendaftaran klien publik. PKCE diberlakukan secara otomatis oleh Entra ID untuk klien publik.

Untuk mengonfigurasi izin API

1. Dalam pendaftaran aplikasi, navigasikan ke izin API → Tambahkan izin → Grafik Microsoft → Izin yang didelegasikan.

2. Tambahkan izin berikut:openid,, emailprofile,offline_access.

3. Pilih Tambahkan izin.

4. Jika organisasi Anda memerlukannya, pilih Berikan izin admin untuk [organisasi Anda].

Untuk mengkonfigurasi pengaturan otentikasi

1. Dalam pendaftaran aplikasi, navigasikan ke Otentikasi.

2. Di bawah Pengaturan lanjutan, setel Izinkan aliran klien publik ke Ya.

3. Verifikasi http://localhost:18080 yang tercantum di bawah Aplikasi seluler dan desktop.

4. Pilih Simpan.

Endpoint OIDC Anda menggunakan format berikut. Ganti <TENANT_ID> dengan ID Direktori (penyewa) Anda.

Bidang	Nilai
URL Penerbit	https://login.microsoftonline.com/<TENANT_ID>/v2.0
Titik akhir otorisasi	https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize
Titik akhir token	https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token
JENIS JWKS	https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys

Okta

Untuk petunjuk selengkapnya, lihat Membuat integrasi aplikasi OpenID Connect di dokumentasi Okta.

Untuk membuat Aplikasi Asli Okta OIDC

1. Di Konsol Admin Okta, arahkan ke Aplikasi → Aplikasi → Buat Integrasi Aplikasi.

2. Pilih OIDC - OpenID Connect sebagai metode login.

3. Pilih Native Application sebagai tipe aplikasi, lalu pilih Next.

4. Konfigurasikan pengaturan berikut:

   Pengaturan	Nilai
   Nama integrasi aplikasi	Amazon Quick Desktop
   Jenis hibah	Kode Otorisasi dan Token Refresh
   Sign-in mengarahkan URI	http://localhost:18080
   Tugas	Tetapkan ke pengguna atau grup yang sesuai

5. Pilih Simpan.

6. Pada tab Umum, perhatikan ID Klien.

PKCE (S256) diberlakukan secara otomatis oleh Okta untuk aplikasi asli.

Untuk mengkonfigurasi cakupan

1. Di Konsol Admin Okta, arahkan ke Security → API → Authorization Server dan pilih server otorisasi Anda (misalnya, default).

2. Pada tab Scopes, verifikasi bahwa cakupan berikut diaktifkan:openid,,email,profile. offline_access

3. Pada tab Kebijakan Akses, verifikasi bahwa kebijakan yang ditetapkan untuk aplikasi ini mengizinkan Authorization Code dan Refresh Token memberikan jenis.

Untuk memverifikasi pengaturan otentikasi

1. Dalam integrasi aplikasi, buka tab Umum.

2. Di bawah Pengaturan Umum, konfirmasikan bahwa jenis aplikasi adalah Native, otentikasi klien adalah None (klien publik), dan PKCE Diperlukan.

3. Di bawah LOGIN, konfirmasikan bahwa http://localhost:18080 terdaftar sebagai URI pengalihan.

4. Pilih Simpan jika Anda membuat perubahan.

Endpoint OIDC Anda menggunakan format berikut. Ganti <OKTA_DOMAIN> dengan domain Okta Anda (misalnya,your-org.okta.com).

Bidang	Nilai
URL Penerbit	https://<OKTA_DOMAIN>/oauth2/default
Titik akhir otorisasi	https://<OKTA_DOMAIN>/oauth2/default/v1/authorize
Titik akhir token	https://<OKTA_DOMAIN>/oauth2/default/v1/token
JENIS JWKS	https://<OKTA_DOMAIN>/oauth2/default/v1/keys

Identitas Ping

Pilih instruksi untuk produk Ping Identity Anda.

PingFederate

Untuk petunjuk rinci, lihat Menyiapkan aplikasi OIDC PingFederate dalam dokumentasi Identitas Ping.

Untuk membuat klien PingFederate OIDC

1. Di konsol PingFederate administratif, buka Aplikasi → OAuth → Klien, dan pilih Tambah Klien.

2. Di bidang ID Klien, masukkan pengenal unik untuk klien ini.

3. Di bidang Nama, masukkan Amazon Quick Desktop.

4. Untuk Otentikasi Klien, pilih Tidak Ada.

5. Di bagian Redirection URI, masukkan http://localhost:18080 dan pilih Tambah.

6. Dalam daftar Jenis Hibah yang Diizinkan, pilih Kode Otorisasi dan Token Segarkan.

7. Pilih kotak centang Required Proof Key for Code Exchange (PKCE).

8. Di bawah Common Scopes, berikan yang berikut:openid,, emailprofile,offline_access.

9. Pilih Simpan.

10. Perhatikan ID Klien. Anda membutuhkan nilai ini di langkah selanjutnya.

Untuk mengonfigurasi kebijakan OIDC

1. Di konsol PingFederate administratif, buka Aplikasi → OAuth → OpenID Connect Policy Management.

2. Pilih kebijakan OIDC yang terkait dengan klien ini, atau pilih Tambahkan Kebijakan untuk membuatnya.

3. Pilih kotak centang Return ID Token On Refresh Grant. Ini memastikan bahwa aplikasi desktop menerima token ID baru dengan klaim saat ini saat menyegarkan sesi.

4. Di bawah Kontrak Atribut, verifikasi bahwa email klaim disertakan dan dipetakan ke atribut pengguna yang sesuai di sumber otentikasi Anda. emailKlaim harus ada dalam token yang dikeluarkan selama otentikasi awal dan hibah token refresh.

5. Pilih Simpan.

Endpoint OIDC Anda menggunakan format berikut. Ganti <PINGFEDERATE_HOST> dengan nama host PingFederate server Anda.

Bidang	Nilai
URL Penerbit	https://<PINGFEDERATE_HOST>
Titik akhir otorisasi	https://<PINGFEDERATE_HOST>/as/authorization.oauth2
Titik akhir token	https://<PINGFEDERATE_HOST>/as/token.oauth2
JENIS JWKS	https://<PINGFEDERATE_HOST>/pf/JWKS

PingOne

Untuk petunjuk terperinci, lihat Mengedit aplikasi — Asli dalam dokumentasi Identitas Ping.

Untuk membuat aplikasi asli PingOne OIDC

1. Di konsol PingOne admin, buka Aplikasi → Aplikasi dan pilih ikon +.

2. Masukkan Amazon Quick Desktop sebagai nama aplikasi.

3. Di bagian Jenis Aplikasi, pilih Asli, lalu pilih Simpan.

4. Pada tab Konfigurasi, pilih Edit dan konfigurasikan pengaturan berikut:

   Pengaturan	Nilai
   Tipe Respon	Kode
   Jenis Hibah	Kode Otorisasi dan Token Refresh
   Penegakan PKCE	S256
   URI Pengalihan	http://localhost:18080
   Metode Otentikasi Titik Akhir Token	Tidak ada

5. Pilih Simpan.

6. Pada tab Sumber Daya, tambahkan cakupan berikut:openid,, emailprofile,offline_access.

7. Pada tab Pemetaan Atribut, verifikasi bahwa email atribut dipetakan ke alamat email pengguna.

8. Alihkan aplikasi ke Diaktifkan.

9. Perhatikan ID Klien dan ID Lingkungan dari tab Konfigurasi.

catatan

PingOne Domain bervariasi menurut wilayah. Contoh di bawah ini digunakan.com. Ganti domain dengan domain untuk lingkungan Anda (misalnya,.ca,.eu, atau.asia).

Endpoint OIDC Anda menggunakan format berikut. Ganti <ENV_ID> dengan ID PingOne lingkungan Anda.

Bidang	Nilai
URL Penerbit	https://auth.pingone.com/<ENV_ID>/as
Titik akhir otorisasi	https://auth.pingone.com/<ENV_ID>/as/authorize
Titik akhir token	https://auth.pingone.com/<ENV_ID>/as/token
JENIS JWKS	https://auth.pingone.com/<ENV_ID>/as/jwks

Langkah 2: Buat Penerbit Token Tepercaya di Pusat Identitas IAM

catatan

Langkah ini hanya diperlukan jika akun Amazon Quick Anda menggunakan Pusat AWS Identity and Access Management Identitas untuk otentikasi. Jika akun Anda menggunakan federasi IAM, lewati langkah ini dan lanjutkan ke Langkah 3.

TTI memberi tahu IAM Identity Center untuk mempercayai token dari IDP Anda dan cara memetakannya ke pengguna IAM Identity Center. Anda dapat membuat TTI di konsol Pusat AWS Identity and Access Management Identitas atau dengan AWS CLI.

Untuk informasi selengkapnya, lihat Menyiapkan penerbit token tepercaya di Panduan Pengguna Pusat AWS Identity and Access Management Identitas.

Untuk membuat TTI di konsol Pusat Identitas IAM

1. Buka konsol Pusat AWS Identity and Access Management Identitas.

2. Pilih Pengaturan.

3. Pada halaman Pengaturan, pilih tab Otentikasi.

4. Di bawah Penerbit token tepercaya, pilih Buat penerbit token tepercaya.

5. Pada halaman Siapkan IDP eksternal untuk menerbitkan token tepercaya, di bawah detail penerbit token tepercaya, konfigurasikan hal berikut:

   Bidang	Nilai
   URL Penerbit	URL penerbit OIDC dari Langkah 1 (lihat tabel di bawah)
   Nama penerbit token tepercaya	AmazonQuickDesktop

6. Di bawah atribut Map, konfigurasikan pemetaan atribut yang digunakan IAM Identity Center untuk mencari pengguna:

   Bidang	Nilai
   Atribut penyedia identitas	Klaim dalam token iDP yang mengidentifikasi pengguna (misalnya,) email
   Atribut Pusat Identitas IAM	Atribut yang sesuai di toko identitas Pusat Identitas IAM (misalnya,emails.value)

   penting

   Atribut penyedia identitas harus cocok dengan klaim yang disertakan IDP Anda dalam token, dan atribut Pusat Identitas IAM harus mengidentifikasi pengguna secara unik di toko identitas Anda. Pemetaan yang paling umum adalah email →emails.value, tetapi organisasi Anda mungkin menggunakan atribut yang berbeda seperti sub atau klaim khusus. Nilai dalam klaim token harus sama persis dengan nilai atribut yang sesuai di Pusat Identitas IAM.

7. Pilih Buat penerbit token tepercaya.

8. Perhatikan ARN penerbit token tepercaya. Anda membutuhkannya di langkah berikutnya.

Atau, untuk membuat TTI dengan AWS CLI, jalankan perintah berikut. Ganti <IDC_INSTANCE_ARN> dengan instans Pusat Identitas IAM Anda Amazon Resource Name (ARN) <ISSUER_URL> dan dengan URL penerbit dari Langkah 1.

aws sso-admin create-trusted-token-issuer \
  --instance-arn <IDC_INSTANCE_ARN> \
  --name "AmazonQuickDesktop" \
  --trusted-token-issuer-type OIDC_JWT \
  --trusted-token-issuer-configuration '{
    "OidcJwtConfiguration": {
      "IssuerUrl": "<ISSUER_URL>",
      "ClaimAttributePath": "email",
      "IdentityStoreAttributePath": "emails.value",
      "JwksRetrievalOption": "OPEN_ID_DISCOVERY"
    }
  }'

Perhatikan TrustedTokenIssuerArn dari output. Anda membutuhkannya di langkah berikutnya.

Tabel berikut mencantumkan URL penerbit untuk setiap penyedia identitas.

Penyedia identitas	URL Penerbit
ID Microsoft Entra	https://login.microsoftonline.com/<TENANT_ID>/v2.0
Okta	https://<OKTA_DOMAIN>/oauth2/default
PingFederate	https://<PINGFEDERATE_HOST>
PingOne	https://auth.pingone.com/<ENV_ID>/as

Langkah 3: Konfigurasikan akses ekstensi di konsol manajemen Amazon Quick

Untuk menambahkan akses ekstensi

1. Masuk ke konsol manajemen Amazon Quick.

2. Di bawah Izin, pilih Akses ekstensi.

3. Pilih Tambahkan akses ekstensi.

4. (Opsional) Jika akun Anda menggunakan Pusat Identitas IAM, langkah Penyiapan Penerbit Token Tepercaya akan muncul. Masukkan yang berikut ini:

   Bidang	Nilai
   Penerbit Token Tepercaya ARN	TrustedTokenIssuerArnDari Langkah 2
   Klaim Aud	ID Klien dari Langkah 1

   Langkah ini tidak muncul untuk akun yang menggunakan federasi IAM.

5. Pilih aplikasi Desktop untuk ekstensi Cepat dan pilih Berikutnya.

6. Masukkan detail ekstensi Amazon Quick:

   Bidang	Nilai
   Nama	Nama untuk akses ekstensi ini
   Deskripsi	(Opsional) Deskripsi
   URL Penerbit	URL penerbit OIDC dari Langkah 1
   Titik Akhir Otorisasi	URL titik akhir otorisasi OIDC dari Langkah 1
   Titik Akhir Token	URL titik akhir token OIDC dari Langkah 1
   JENIS JWKS	URI Set Kunci Web JSON dari Langkah 1
   ID Klien	Pengidentifikasi klien OIDC dari Langkah 1

7. Pilih Tambahkan.

   penting

   Verifikasi bahwa semua nilai sudah benar sebelum memilih Tambah. Konfigurasi akses ekstensi tidak dapat diedit setelah pembuatan. Jika ada nilai yang salah, Anda harus menghapus akses ekstensi dan membuat yang baru.

Untuk membuat ekstensi

1. Di konsol Amazon Quick, di navigasi kiri di bawah Connect apps dan data, pilih Extensions.

2. Pilih Tambahkan ekstensi.

3. Pilih aplikasi Desktop untuk akses ekstensi Cepat yang Anda buat sebelumnya. Pilih Berikutnya.

4. Pilih Buat.

Langkah 4: Unduh dan distribusikan aplikasi desktop

Setelah Anda mengonfigurasi login perusahaan, verifikasi pengaturan dengan mengunduh dan menginstal aplikasi desktop sendiri. Pilih login Enterprise di layar masuk dan autentikasi dengan kredensi perusahaan Anda untuk mengonfirmasi bahwa konfigurasi berfungsi. Untuk langkah-langkah pengunduhan dan penginstalan, lihatMemulai.

Jika login gagal, verifikasi nilai yang Anda masukkan di Langkah 3 terhadap titik akhir OIDC dari Langkah 1. Jika ada nilai yang salah, hapus akses ekstensi di bawah Izin → Akses ekstensi, dan ulangi Langkah 3 dengan nilai yang benar.

Setelah Anda memverifikasi penyiapan, arahkan pengguna Anda Memulai untuk mengunduh, menginstal, dan instruksi masuk.

Pemecahan masalah

redirect_mismatch kesalahan

Verifikasi bahwa URI pengalihan di IDP Anda http://localhost:18080 tepat dan dikonfigurasi sebagai klien publik atau platform asli.

Pengguna tidak ditemukan setelah login

Email dalam token iDP harus sama persis dengan email pengguna di IAM Identity Center. Verifikasi bahwa pengguna disediakan dan bahwa alamat email identik di kedua sistem.

Kegagalan validasi token

Verifikasi bahwa URL penerbit di TTI sama persis dengan URL penerbit dalam konfigurasi OIDC iDP Anda.

Kesalahan persetujuan atau izin (Microsoft Entra ID)

Berikan izin admin untuk izin API yang diperlukan di portal Azure. Arahkan ke halaman izin API pendaftaran aplikasi dan pilih Berikan izin admin untuk [organisasi Anda].

Sesi sering kedaluwarsa

Verifikasi bahwa idP Anda dikonfigurasi untuk mengeluarkan token penyegaran. Untuk Microsoft Entra ID, offline_access ruang lingkup diperlukan. Untuk Okta, jenis hibah Refresh Token harus diaktifkan dan offline_access cakupan harus diberikan. Untuk Ping Identity, jenis hibah Refresh Token harus diaktifkan dan offline_access cakupan harus diberikan. Untuk PingFederate, verifikasi juga bahwa Return ID Token On Refresh Grant dipilih dalam kebijakan OIDC.

invalid_scopeerror (Okta)

Verifikasi yang offline_access diaktifkan di server otorisasi Anda. Arahkan ke Keamanan → API → Server Otorisasi → default → Cakupan dan konfirmasikan cakupannya ada. Juga verifikasi bahwa kebijakan akses untuk aplikasi memungkinkan jenis hibah Refresh Token.

Aplikasi tidak diaktifkan (PingOne)

Jika otentikasi gagal segera tanpa mencapai halaman PingOne login, verifikasi bahwa sakelar aplikasi disetel ke Diaktifkan di konsol admin. PingOne

Klaim email tidak ada setelah refresh (PingFederate)

Verifikasi bahwa email klaim disertakan dalam Kontrak Atribut kebijakan OIDC dan dipetakan ke atribut pengguna yang benar. Pemetaan harus menghasilkan email klaim untuk otentikasi awal dan hibah token refresh.