Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menyiapkan Amazon Quick di desktop untuk penerapan perusahaan
<a name="desktop-enterprise-setup"></a>


|  | 
| --- |
|    Berlaku untuk: Edisi Perusahaan dan Edisi Standar  | 


|  | 
| --- |
|    Audiens yang dituju: Administrator sistem  | 

Untuk menggunakan Amazon Quick di desktop untuk penerapan perusahaan, administrator harus mengonfigurasi sistem masuk tunggal perusahaan (SSO) sehingga pengguna di organisasi dapat masuk dengan kredenal perusahaan mereka. Penyiapan ini menghubungkan penyedia identitas yang kompatibel dengan OpenID Connect (OIDC) organisasi Anda ke Amazon Quick.

**catatan**  
Jika Anda menggunakan akun Gratis atau Plus, bagian ini tidak berlaku untuk Anda. Lanjutkan ke [Memulai](getting-started-desktop.md).

Pengaturan melibatkan langkah-langkah berikut, secara berurutan:

1. Buat aplikasi OIDC di IDP Anda.

1. Buat Penerbit Token Tepercaya (TTI) di Pusat Identitas IAM (hanya diperlukan untuk akun yang menggunakan Pusat Identitas IAM untuk otentikasi).

1. Konfigurasikan akses ekstensi di konsol manajemen Amazon Quick.

1. Bagikan aplikasi desktop ke pengguna Anda.

Panduan ini memberikan IdP-specific petunjuk untuk Microsoft Entra ID, Okta, dan Ping Identity (PingFederate dan PingOne). Lihat petunjuk untuk penyedia identitas spesifik Anda di bawah ini.

## Cara kerja masuk perusahaan
<a name="desktop-enterprise-how-it-works"></a>

Aplikasi desktop Amazon Quick menggunakan protokol OIDC untuk mengautentikasi pengguna. Saat pengguna memilih **login Enterprise**, aplikasi membuka jendela browser dan mengalihkan ke titik akhir otorisasi IDP Anda. Aplikasi kemudian menukar kode otorisasi yang dihasilkan untuk token menggunakan Kunci Bukti untuk Pertukaran Kode (PKCE).

Amazon Quick memvalidasi token dan memetakan pengguna ke identitas di akun Anda. Untuk akun yang menggunakan IAM Identity Center, TTI memetakan `email` klaim dalam token OIDC ke `emails.value` atribut di penyimpanan identitas. Untuk akun yang menggunakan federasi IAM, Amazon Quick memetakan pengguna melalui email secara langsung. Dalam kedua kasus tersebut, alamat email di IDP Anda harus sama persis dengan alamat email pengguna di Amazon Quick.

## Prasyarat
<a name="desktop-enterprise-prerequisites"></a>

Sebelum Anda mulai, verifikasi bahwa Anda memiliki yang berikut:
+  AWS Akun dengan langganan Amazon Quick aktif yang menggunakan IAM Identity Center atau federasi IAM untuk otentikasi. Wilayah asal akun Amazon Quick (wilayah identitas) harus US East (Virginia N.) (us-east-1).
+ Akses administrator ke akun Amazon Quick Anda.
+ Akses ke IDP Anda dengan izin untuk membuat pendaftaran aplikasi OIDC.

**penting**  
Wilayah asal akun Amazon Quick (wilayah identitas) harus US East (Virginia N.) (us-east-1). Semua inferensi untuk aplikasi desktop juga menggunakan Wilayah ini. Meskipun Amazon Quick di web dapat digunakan di Wilayah lain, aplikasi desktop terhubung ke us-east-1 untuk otentikasi dan inferensi.

## Langkah 1: Buat aplikasi OIDC di penyedia identitas Anda
<a name="desktop-enterprise-step1"></a>

Daftarkan aplikasi klien OIDC publik di IDP Anda. Aplikasi desktop Amazon Quick menggunakan klien ini untuk mengautentikasi pengguna melalui aliran kode otorisasi dengan PKCE. Tidak ada rahasia klien yang diperlukan.

Aplikasi desktop membutuhkan token penyegaran untuk mempertahankan sesi yang berumur panjang. Cara penyegaran token dikonfigurasi tergantung pada IDP Anda:
+ **Microsoft Entra ID** — Ruang `offline_access` lingkup harus diberikan. Tanpa itu, pengguna harus sering melakukan autentikasi ulang.
+ **Okta** — Jenis hibah Token Refresh harus diaktifkan pada aplikasi, dan `offline_access` ruang lingkup harus diberikan.
+ **Identitas Ping** — Jenis hibah Token Refresh harus diaktifkan, dan `offline_access` ruang lingkup harus diberikan. Untuk PingFederate, pengaturan **Return ID Token On Refresh Grant** juga harus diaktifkan dalam kebijakan OIDC.

Pilih instruksi untuk penyedia identitas Anda.

### ID Microsoft Entra
<a name="desktop-enterprise-entra-id"></a>

Untuk petunjuk selengkapnya, lihat [Mendaftarkan aplikasi](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app) di dokumentasi Microsoft Entra.

**Untuk membuat pendaftaran aplikasi Entra ID**

1. Di portal Azure, navigasikan ke **Microsoft Entra ID → Pendaftaran aplikasi → Pendaftaran baru.**

1. Konfigurasikan pengaturan berikut:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/quick/latest/userguide/desktop-enterprise-setup.html)

1. Pilih**Pendaftaran**.

1. Pada halaman **Ikhtisar**, catat ID **Aplikasi (klien) dan ID** **Direktori (penyewa)**. Anda membutuhkan nilai-nilai ini di langkah selanjutnya.

Ini adalah pendaftaran klien publik. PKCE diberlakukan secara otomatis oleh Entra ID untuk klien publik.

**Untuk mengonfigurasi izin API**

1. Dalam pendaftaran aplikasi, navigasikan ke izin **API → Tambahkan izin → Grafik Microsoft → Izin yang didelegasikan**.

1. Tambahkan izin berikut:`openid`,, `email``profile`,`offline_access`.

1. Pilih **Tambahkan izin**.

1. Jika organisasi Anda memerlukannya, pilih **Berikan izin admin untuk [organisasi Anda]**.

**Untuk mengkonfigurasi pengaturan otentikasi**

1. Dalam pendaftaran aplikasi, navigasikan ke **Otentikasi.**

1. Di bawah **Pengaturan lanjutan**, setel **Izinkan aliran klien publik** ke **Ya**.

1. Verifikasi `http://localhost:18080` yang tercantum di bawah **Aplikasi seluler dan desktop**.

1. Pilih **Simpan**.

Endpoint OIDC Anda menggunakan format berikut. Ganti `<TENANT_ID>` dengan ID Direktori (penyewa) Anda.


| Bidang | Nilai | 
| --- | --- | 
| URL Penerbit | https://login.microsoftonline.com/<TENANT\_ID>/v2.0 | 
| Titik akhir otorisasi | https://login.microsoftonline.com/<TENANT\_ID>/oauth2/v2.0/authorize | 
| Titik akhir token | https://login.microsoftonline.com/<TENANT\_ID>/oauth2/v2.0/token | 
| JENIS JWKS | https://login.microsoftonline.com/<TENANT\_ID>/discovery/v2.0/keys | 

### Okta
<a name="desktop-enterprise-okta"></a>

Untuk petunjuk selengkapnya, lihat [Membuat integrasi aplikasi OpenID Connect di dokumentasi Okta](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_oidc.htm).

**Untuk membuat Aplikasi Asli Okta OIDC**

1. Di Konsol Admin Okta, arahkan ke **Aplikasi → Aplikasi → Buat Integrasi Aplikasi**.

1. Pilih **OIDC - OpenID Connect sebagai metode login**.

1. Pilih **Native Application** sebagai tipe aplikasi, lalu pilih **Next**.

1. Konfigurasikan pengaturan berikut:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/quick/latest/userguide/desktop-enterprise-setup.html)

1. Pilih **Simpan**.

1. Pada tab **Umum**, perhatikan **ID Klien**.

PKCE (S256) diberlakukan secara otomatis oleh Okta untuk aplikasi asli.

**Untuk mengkonfigurasi cakupan**

1. **Di Konsol Admin Okta, arahkan ke **Security → API → Authorization Server** dan pilih server otorisasi Anda (misalnya, default).**

1. Pada tab **Scopes**, verifikasi bahwa cakupan berikut diaktifkan:`openid`,,`email`,`profile`. `offline_access`

1. Pada tab **Kebijakan Akses**, verifikasi bahwa kebijakan yang ditetapkan untuk aplikasi ini mengizinkan `Authorization Code` dan `Refresh Token` memberikan jenis.

**Untuk memverifikasi pengaturan otentikasi**

1. Dalam integrasi aplikasi, buka tab **Umum**.

1. **Di bawah **Pengaturan Umum**, konfirmasikan bahwa jenis aplikasi adalah **Native**, otentikasi klien adalah **None** (klien publik), dan PKCE Diperlukan.**

1. Di bawah **LOGIN**, konfirmasikan bahwa `http://localhost:18080` terdaftar sebagai URI pengalihan.

1. Pilih **Simpan** jika Anda membuat perubahan.

Endpoint OIDC Anda menggunakan format berikut. Ganti `<OKTA_DOMAIN>` dengan domain Okta Anda (misalnya,`your-org.okta.com`).


| Bidang | Nilai | 
| --- | --- | 
| URL Penerbit | https://<OKTA\_DOMAIN>/oauth2/default | 
| Titik akhir otorisasi | https://<OKTA\_DOMAIN>/oauth2/default/v1/authorize | 
| Titik akhir token | https://<OKTA\_DOMAIN>/oauth2/default/v1/token | 
| JENIS JWKS | https://<OKTA\_DOMAIN>/oauth2/default/v1/keys | 

### Identitas Ping
<a name="desktop-enterprise-ping-identity"></a>

Pilih instruksi untuk produk Ping Identity Anda.

#### PingFederate
<a name="desktop-enterprise-pingfederate"></a>

Untuk petunjuk rinci, lihat [Menyiapkan aplikasi OIDC PingFederate dalam dokumentasi](https://docs.pingidentity.com/solution-guides/customer_use_cases/htg_oidc_app_setup_pf.html) Identitas Ping.

**Untuk membuat klien PingFederate OIDC**

1. Di konsol PingFederate administratif, buka **Aplikasi → OAuth → Klien, dan pilih **Tambah** Klien**.

1. Di bidang **ID Klien**, masukkan pengenal unik untuk klien ini.

1. Di bidang **Nama**, masukkan `Amazon Quick Desktop`.

1. Untuk **Otentikasi Klien**, pilih **Tidak Ada**.

1. Di bagian **Redirection URI**, masukkan `http://localhost:18080` dan pilih **Tambah**.

1. Dalam daftar **Jenis Hibah yang Diizinkan**, pilih **Kode Otorisasi** dan **Token Segarkan**.

1. Pilih kotak **centang Required Proof Key for Code Exchange (PKCE)**.

1. Di bawah **Common Scopes**, berikan yang berikut:`openid`,, `email``profile`,`offline_access`.

1. Pilih **Simpan**.

1. Perhatikan **ID Klien**. Anda membutuhkan nilai ini di langkah selanjutnya.

**Untuk mengonfigurasi kebijakan OIDC**

1. Di konsol PingFederate administratif, buka **Aplikasi → OAuth → OpenID Connect** Policy Management.

1. Pilih kebijakan OIDC yang terkait dengan klien ini, atau pilih **Tambahkan Kebijakan** untuk membuatnya.

1. Pilih kotak centang **Return ID Token On Refresh Grant**. Ini memastikan bahwa aplikasi desktop menerima token ID baru dengan klaim saat ini saat menyegarkan sesi.

1. Di bawah **Kontrak Atribut**, verifikasi bahwa `email` klaim disertakan dan dipetakan ke atribut pengguna yang sesuai di sumber otentikasi Anda. `email`Klaim harus ada dalam token yang dikeluarkan selama otentikasi awal dan hibah token refresh.

1. Pilih **Simpan**.

Endpoint OIDC Anda menggunakan format berikut. Ganti `<PINGFEDERATE_HOST>` dengan nama host PingFederate server Anda.


| Bidang | Nilai | 
| --- | --- | 
| URL Penerbit | https://<PINGFEDERATE\_HOST> | 
| Titik akhir otorisasi | https://<PINGFEDERATE\_HOST>/as/authorization.oauth2 | 
| Titik akhir token | https://<PINGFEDERATE\_HOST>/as/token.oauth2 | 
| JENIS JWKS | https://<PINGFEDERATE\_HOST>/pf/JWKS | 

#### PingOne
<a name="desktop-enterprise-pingone"></a>

Untuk petunjuk terperinci, lihat [Mengedit aplikasi — Asli](https://docs.pingidentity.com/pingone/applications/p1_edit_application_native.html) dalam dokumentasi Identitas Ping.

**Untuk membuat aplikasi asli PingOne OIDC**

1. Di konsol PingOne admin, buka **Aplikasi → Aplikasi** dan pilih ikon **\+**.

1. Masukkan `Amazon Quick Desktop` sebagai nama aplikasi.

1. Di bagian **Jenis Aplikasi**, pilih **Asli**, lalu pilih **Simpan**.

1. Pada tab **Konfigurasi**, pilih **Edit** dan konfigurasikan pengaturan berikut:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/quick/latest/userguide/desktop-enterprise-setup.html)

1. Pilih **Simpan**.

1. Pada tab **Sumber Daya**, tambahkan cakupan berikut:`openid`,, `email``profile`,`offline_access`.

1. Pada tab **Pemetaan Atribut**, verifikasi bahwa `email` atribut dipetakan ke alamat email pengguna.

1. **Alihkan aplikasi ke Diaktifkan.**

1. Perhatikan **ID Klien** dan **ID Lingkungan** dari tab **Konfigurasi**.

**catatan**  
 PingOne Domain bervariasi menurut wilayah. Contoh di bawah ini digunakan`.com`. Ganti domain dengan domain untuk lingkungan Anda (misalnya,`.ca`,`.eu`, atau`.asia`).

Endpoint OIDC Anda menggunakan format berikut. Ganti `<ENV_ID>` dengan ID PingOne lingkungan Anda.


| Bidang | Nilai | 
| --- | --- | 
| URL Penerbit | https://auth.pingone.com/<ENV\_ID>/as | 
| Titik akhir otorisasi | https://auth.pingone.com/<ENV\_ID>/as/authorize | 
| Titik akhir token | https://auth.pingone.com/<ENV\_ID>/as/token | 
| JENIS JWKS | https://auth.pingone.com/<ENV\_ID>/as/jwks | 

## Langkah 2: Buat Penerbit Token Tepercaya di Pusat Identitas IAM
<a name="desktop-enterprise-step2"></a>

**catatan**  
Langkah ini hanya diperlukan jika akun Amazon Quick Anda menggunakan Pusat AWS Identity and Access Management Identitas untuk otentikasi. Jika akun Anda menggunakan federasi IAM, lewati langkah ini dan lanjutkan ke Langkah 3.

TTI memberi tahu IAM Identity Center untuk mempercayai token dari IDP Anda dan cara memetakannya ke pengguna IAM Identity Center. Anda dapat membuat TTI di konsol Pusat AWS Identity and Access Management Identitas atau dengan AWS CLI.

Untuk informasi selengkapnya, lihat [Menyiapkan penerbit token tepercaya](https://docs.aws.amazon.com/singlesignon/latest/userguide/setuptrustedtokenissuer.html) di *Panduan Pengguna Pusat AWS Identity and Access Management Identitas*.

**Untuk membuat TTI di konsol Pusat Identitas IAM**

1. Buka [konsol Pusat AWS Identity and Access Management Identitas](https://console.aws.amazon.com/singlesignon).

1. Pilih **Pengaturan**.

1. Pada halaman **Pengaturan**, pilih tab **Otentikasi**.

1. Di bawah **Penerbit token tepercaya**, pilih **Buat penerbit token tepercaya**.

1. Pada halaman **Siapkan IDP eksternal untuk menerbitkan token tepercaya, di bawah detail penerbit token** **tepercaya**, konfigurasikan hal berikut:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/quick/latest/userguide/desktop-enterprise-setup.html)

1. Di bawah **atribut Map**, konfigurasikan pemetaan atribut yang digunakan IAM Identity Center untuk mencari pengguna:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/quick/latest/userguide/desktop-enterprise-setup.html)
**penting**  
Atribut penyedia identitas harus cocok dengan klaim yang disertakan IDP Anda dalam token, dan atribut Pusat Identitas IAM harus mengidentifikasi pengguna secara unik di toko identitas Anda. Pemetaan yang paling umum adalah `email` →`emails.value`, tetapi organisasi Anda mungkin menggunakan atribut yang berbeda seperti `sub` atau klaim khusus. Nilai dalam klaim token harus sama persis dengan nilai atribut yang sesuai di Pusat Identitas IAM.

1. Pilih **Buat penerbit token tepercaya.**

1. Perhatikan **ARN penerbit token tepercaya**. Anda membutuhkannya di langkah berikutnya.

Atau, untuk membuat TTI dengan AWS CLI, jalankan perintah berikut. Ganti `<IDC_INSTANCE_ARN>` dengan instans Pusat Identitas IAM Anda Amazon Resource Name (ARN) `<ISSUER_URL>` dan dengan URL penerbit dari Langkah 1.

```
aws sso-admin create-trusted-token-issuer \
  --instance-arn <IDC_INSTANCE_ARN> \
  --name "AmazonQuickDesktop" \
  --trusted-token-issuer-type OIDC_JWT \
  --trusted-token-issuer-configuration '{
    "OidcJwtConfiguration": {
      "IssuerUrl": "<ISSUER_URL>",
      "ClaimAttributePath": "email",
      "IdentityStoreAttributePath": "emails.value",
      "JwksRetrievalOption": "OPEN_ID_DISCOVERY"
    }
  }'
```

Perhatikan `TrustedTokenIssuerArn` dari output. Anda membutuhkannya di langkah berikutnya.

Tabel berikut mencantumkan URL penerbit untuk setiap penyedia identitas.


| Penyedia identitas | URL Penerbit | 
| --- | --- | 
| ID Microsoft Entra | https://login.microsoftonline.com/<TENANT\_ID>/v2.0 | 
| Okta | https://<OKTA\_DOMAIN>/oauth2/default | 
| PingFederate | https://<PINGFEDERATE\_HOST> | 
| PingOne | https://auth.pingone.com/<ENV\_ID>/as | 

## Langkah 3: Konfigurasikan akses ekstensi di konsol manajemen Amazon Quick
<a name="desktop-enterprise-step3"></a>

**Untuk menambahkan akses ekstensi**

1. Masuk ke konsol manajemen Amazon Quick.

1. Di bawah **Izin**, pilih **Akses ekstensi**.

1. Pilih **Tambahkan akses ekstensi**.

1. (Opsional) Jika akun Anda menggunakan Pusat Identitas IAM, langkah **Penyiapan Penerbit Token Tepercaya akan** muncul. Masukkan yang berikut ini:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/quick/latest/userguide/desktop-enterprise-setup.html)

   Langkah ini tidak muncul untuk akun yang menggunakan federasi IAM.

1. Pilih **aplikasi Desktop untuk ekstensi Cepat** dan pilih **Berikutnya**.

1. Masukkan detail ekstensi Amazon Quick:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/quick/latest/userguide/desktop-enterprise-setup.html)

1. Pilih **Tambahkan**.
**penting**  
Verifikasi bahwa semua nilai sudah benar sebelum memilih **Tambah**. Konfigurasi akses ekstensi tidak dapat diedit setelah pembuatan. Jika ada nilai yang salah, Anda harus menghapus akses ekstensi dan membuat yang baru.

**Untuk membuat ekstensi**

1. Di konsol Amazon Quick, di navigasi kiri di bawah **Connect apps dan data**, pilih **Extensions**.

1. Pilih **Tambahkan ekstensi**.

1. Pilih **aplikasi Desktop untuk akses ekstensi Cepat** yang Anda buat sebelumnya. Pilih **Berikutnya**.

1. Pilih **Buat**.

## Langkah 4: Unduh dan distribusikan aplikasi desktop
<a name="desktop-enterprise-step4"></a>

Setelah Anda mengonfigurasi login perusahaan, verifikasi pengaturan dengan mengunduh dan menginstal aplikasi desktop sendiri. Pilih **login Enterprise** di layar masuk dan autentikasi dengan kredensi perusahaan Anda untuk mengonfirmasi bahwa konfigurasi berfungsi. Untuk langkah-langkah pengunduhan dan penginstalan, lihat[Memulai](getting-started-desktop.md).

Jika login gagal, verifikasi nilai yang Anda masukkan di Langkah 3 terhadap titik akhir OIDC dari Langkah 1. Jika ada nilai yang salah, hapus akses ekstensi di bawah **Izin → Akses ekstensi**, dan ulangi Langkah 3 dengan nilai yang benar.

Setelah Anda memverifikasi penyiapan, arahkan pengguna Anda [Memulai](getting-started-desktop.md) untuk mengunduh, menginstal, dan instruksi masuk.

## Pemecahan masalah
<a name="desktop-enterprise-troubleshooting"></a>

`redirect_mismatch` kesalahan  
Verifikasi bahwa URI pengalihan di IDP Anda `http://localhost:18080` tepat dan dikonfigurasi sebagai klien publik atau platform asli.

Pengguna tidak ditemukan setelah login  
Email dalam token iDP harus sama persis dengan email pengguna di IAM Identity Center. Verifikasi bahwa pengguna disediakan dan bahwa alamat email identik di kedua sistem.

Kegagalan validasi token  
Verifikasi bahwa URL penerbit di TTI sama persis dengan URL penerbit dalam konfigurasi OIDC iDP Anda.

Kesalahan persetujuan atau izin (Microsoft Entra ID)  
Berikan izin admin untuk izin API yang diperlukan di portal Azure. Arahkan ke halaman **izin API pendaftaran aplikasi dan pilih Berikan izin** **admin untuk [organisasi Anda]**.

Sesi sering kedaluwarsa  
Verifikasi bahwa idP Anda dikonfigurasi untuk mengeluarkan token penyegaran. Untuk Microsoft Entra ID, `offline_access` ruang lingkup diperlukan. Untuk Okta, jenis hibah Refresh Token harus diaktifkan dan `offline_access` cakupan harus diberikan. Untuk Ping Identity, jenis hibah Refresh Token harus diaktifkan dan `offline_access` cakupan harus diberikan. Untuk PingFederate, verifikasi juga bahwa **Return ID Token On Refresh Grant** dipilih dalam kebijakan OIDC.

`invalid_scope`error (Okta)  
Verifikasi yang `offline_access` diaktifkan di server otorisasi Anda. Arahkan ke **Keamanan → API → Server Otorisasi → default → Cakupan** dan konfirmasikan cakupannya ada. Juga verifikasi bahwa kebijakan akses untuk aplikasi memungkinkan jenis hibah Refresh Token.

Aplikasi tidak diaktifkan (PingOne)  
Jika otentikasi gagal segera tanpa mencapai halaman PingOne login, verifikasi bahwa sakelar aplikasi disetel ke **Diaktifkan di konsol** admin. PingOne 

Klaim email tidak ada setelah refresh (PingFederate)  
Verifikasi bahwa `email` klaim disertakan dalam **Kontrak Atribut kebijakan OIDC dan dipetakan ke atribut** pengguna yang benar. Pemetaan harus menghasilkan `email` klaim untuk otentikasi awal dan hibah token refresh.