Configurazione di Amazon Quick su desktop per distribuzioni aziendali

Si applica a: Enterprise Edition e Standard Edition

Destinatari: amministratori di sistema

Per utilizzare Amazon Quick su desktop per distribuzioni aziendali, gli amministratori devono configurare l'Enterprise Single Sign-On (SSO) in modo che gli utenti dell'organizzazione possano accedere con le proprie credenziali aziendali. Questa configurazione collega il provider di identità (IdP) compatibile con OpenID Connect (OIDC) della tua organizzazione ad Amazon Quick.

Nota

Se utilizzi un account Free o Plus, questa sezione non ti riguarda. Continua su Nozioni di base.

La configurazione prevede i seguenti passaggi, nell'ordine:

1. Crea un'applicazione OIDC nel tuo IdP.

2. Crea un Trusted Token Issuer (TTI) in IAM Identity Center (richiesto solo per gli account che utilizzano IAM Identity Center per l'autenticazione).

3. Configura l'accesso all'estensione nella console di gestione Amazon Quick.

4. Distribuisci l'applicazione desktop ai tuoi utenti.

Questa guida fornisce IdP-specific istruzioni per Microsoft Entra ID, Okta e Ping Identity (PingFederate and PingOne). Consulta le istruzioni per il tuo provider di identità specifico di seguito.

Come funziona l'accesso aziendale

L'applicazione desktop Amazon Quick utilizza il protocollo OIDC per autenticare gli utenti. Quando un utente sceglie Enterprise login, l'applicazione apre una finestra del browser e reindirizza all'endpoint di autorizzazione del tuo IdP. L'applicazione scambia quindi il codice di autorizzazione risultante in token utilizzando Proof Key for Code Exchange (PKCE).

Amazon Quick convalida il token e associa l'utente a un'identità nel tuo account. Per gli account che utilizzano IAM Identity Center, il TTI associa il email claim nel token OIDC all'emails.valueattributo nell'archivio di identità. Per gli account che utilizzano la federazione IAM, Amazon Quick mappa l'utente direttamente tramite e-mail. In entrambi i casi, l'indirizzo e-mail del tuo IdP deve corrispondere esattamente all'indirizzo e-mail dell'utente in Amazon Quick.

Prerequisiti

Prima di iniziare, verifica di disporre di quanto segue:

• Un AWS account con un abbonamento Amazon Quick attivo che utilizza IAM Identity Center o la federazione IAM per l'autenticazione. La regione di origine dell'account Amazon Quick (regione di identità) deve essere Stati Uniti orientali (Virginia settentrionale) (us-east-1).

• Accesso da amministratore al tuo account Amazon Quick.

• Accedi al tuo IdP con le autorizzazioni per creare registrazioni di applicazioni OIDC.

Importante

La regione di origine dell'account Amazon Quick (regione di identità) deve essere Stati Uniti orientali (Virginia settentrionale) (us-east-1). Tutte le inferenze per l'applicazione desktop utilizzano anche questa regione. Sebbene Amazon Quick sul Web possa essere utilizzato in altre regioni, l'applicazione desktop si connette a us-east-1 sia per l'autenticazione che per l'inferenza.

Fase 1: crea un'applicazione OIDC nel tuo provider di identità

Registra un'applicazione client OIDC pubblica nel tuo IdP. L'applicazione desktop Amazon Quick utilizza questo client per autenticare gli utenti tramite il flusso del codice di autorizzazione con PKCE. Non è richiesto alcun segreto del client.

L'applicazione desktop richiede token di aggiornamento per mantenere sessioni di lunga durata. La modalità di configurazione dei token di aggiornamento dipende dal tuo IdP:

• ID Microsoft Entra: l'offline_accessambito deve essere concesso. In caso contrario, gli utenti devono riautenticarsi frequentemente.

• Okta — Il tipo di concessione Refresh Token deve essere abilitato sull'applicazione e l'offline_accessambito deve essere concesso.

• Ping Identity: il tipo di concessione Refresh Token deve essere abilitato e l'offline_accessambito deve essere concesso. Infatti PingFederate, l'impostazione Return ID Token On Refresh Grant deve essere abilitata anche nella politica OIDC.

Scegli le istruzioni per il tuo provider di identità.

ID Microsoft Entra

Per istruzioni dettagliate, vedi Registrare un'applicazione nella documentazione di Microsoft Entra.

Per creare la registrazione dell'app Entra ID

1. Nel portale di Azure, vai a Microsoft Entra ID → Registrazioni app → Nuova registrazione.

2. Configura le impostazioni seguenti:

   Impostazione	Valore
   Nome	Amazon Quick Desktop
   Tipi di account supportati	Solo account in questo elenco organizzativo (tenant singolo)
   Piattaforma URI di reindirizzamento	Pubblica client/native (mobile e desktop)
   URI di reindirizzamento	http://localhost:18080

3. Scegli Registrati.

4. Nella pagina Panoramica, annota l'ID dell'applicazione (client) e l'ID della directory (tenant). Questi valori sono necessari nei passaggi successivi.

Questa è una registrazione pubblica del cliente. PKCE viene applicato automaticamente da Entra ID per i clienti pubblici.

Per configurare le autorizzazioni API

1. Nella registrazione dell'app, vai a Autorizzazioni API → Aggiungi un'autorizzazione → Microsoft Graph → Autorizzazioni delegate.

2. Aggiungi le seguenti autorizzazioni:openid,,,. email profile offline_access

3. Scegli Add Permissions (Aggiungi autorizzazioni).

4. Se la tua organizzazione lo richiede, scegli Concedi il consenso amministrativo per [la tua organizzazione].

Per configurare le impostazioni di autenticazione

1. Nella registrazione dell'app, vai su Autenticazione.

2. In Impostazioni avanzate, imposta Consenti flussi di client pubblici su Sì.

3. Verifica che http://localhost:18080 sia elencato in Applicazioni mobili e desktop.

4. Scegli Save (Salva).

Gli endpoint OIDC utilizzano il seguente formato. <TENANT_ID>Sostituiscilo con il tuo ID di directory (tenant).

Campo	Valore
URL dell’emittente	https://login.microsoftonline.com/<TENANT_ID>/v2.0
Endpoint di autorizzazione	https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize
Endpoint Token	https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token
JWKS URI	https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys

Okta

Per istruzioni dettagliate, consulta Create integrazioni con l'app OpenID Connect nella documentazione di Okta.

Per creare l'applicazione nativa Okta OIDC

1. Nella console di amministrazione Okta, vai su Applicazioni → Applicazioni → Crea integrazione di app.

2. Seleziona OIDC - OpenID Connect come metodo di accesso.

3. Seleziona Applicazione nativa come tipo di applicazione, quindi scegli Avanti.

4. Configura le impostazioni seguenti:

   Impostazione	Valore
   Nome di integrazione dell'app	Amazon Quick Desktop
   Tipo di sovvenzione	Codice di autorizzazione e token di aggiornamento
   Sign-in URI di reindirizzamento	http://localhost:18080
   incarichi	Assegna agli utenti o ai gruppi appropriati

5. Scegli Save (Salva).

6. Nella scheda Generale, annota l'ID client.

PKCE (S256) viene applicato automaticamente da Okta per le applicazioni native.

Per configurare gli ambiti

1. Nella Okta Admin Console, vai a Sicurezza → API → Server di autorizzazione e seleziona il tuo server di autorizzazione (ad esempio, predefinito).

2. Nella scheda Ambiti, verifica che i seguenti ambiti siano abilitati:openid,,,email. profile offline_access

3. Nella scheda Politiche di accesso, verifica che la politica assegnata a questa applicazione consenta Authorization Code i tipi di Refresh Token concessione.

Per verificare le impostazioni di autenticazione

1. Nell'integrazione dell'app, vai alla scheda Generale.

2. In Impostazioni generali, verifica che il tipo di applicazione sia Native, che l'autenticazione del client sia Nessuna (client pubblico) e che PKCE sia richiesto.

3. In LOGIN, conferma che http://localhost:18080 sia elencato come URI di reindirizzamento.

4. Scegli Salva se hai apportato delle modifiche.

Gli endpoint OIDC utilizzano il seguente formato. <OKTA_DOMAIN>Sostituiscilo con il tuo dominio Okta (ad esempio,). your-org.okta.com

Campo	Valore
URL dell’emittente	https://<OKTA_DOMAIN>/oauth2/default
Endpoint di autorizzazione	https://<OKTA_DOMAIN>/oauth2/default/v1/authorize
Endpoint Token	https://<OKTA_DOMAIN>/oauth2/default/v1/token
JWKS URI	https://<OKTA_DOMAIN>/oauth2/default/v1/keys

Identità Ping

Scegli le istruzioni per il tuo prodotto Ping Identity.

PingFederate

Per istruzioni dettagliate, consulta Configurazione di un'applicazione OIDC PingFederate nella documentazione di Ping Identity.

Per creare il client PingFederate OIDC

1. Nella console di PingFederate amministrazione, vai su Applicazioni → OAuth → Client e scegli Aggiungi client.

2. Nel campo ID cliente, inserisci un identificatore univoco per questo client.

3. Nel campo Name (Nome), inserire Amazon Quick Desktop.

4. Per Autenticazione client, seleziona Nessuno.

5. Nella sezione URI di reindirizzamento, inserisci http://localhost:18080 e scegli Aggiungi.

6. Nell'elenco Tipi di concessione consentiti, seleziona Codice di autorizzazione e Aggiorna token.

7. Seleziona la casella di controllo Richiedi Proof Key for Code Exchange (PKCE).

8. In Common Scopes, concedi quanto segue:openid,,,email. profile offline_access

9. Scegli Save (Salva).

10. Annota l'ID client. Questo valore è necessario nei passaggi successivi.

Per configurare la politica OIDC

1. Nella console di PingFederate amministrazione, vai su Applicazioni → OAuth → OpenID Connect Policy Management.

2. Seleziona la politica OIDC associata a questo client o scegli Aggiungi politica per crearne una.

3. Seleziona la casella di controllo Return ID Token On Refresh Grant. Ciò garantisce che l'applicazione desktop riceva un nuovo token ID con le affermazioni correnti durante l'aggiornamento della sessione.

4. In Attribute Contract, verifica che l'emailattestazione sia inclusa e mappata all'attributo utente corrispondente nella fonte di autenticazione. L'emailattestazione deve essere presente nei token emessi sia durante l'autenticazione iniziale che durante la concessione di token di aggiornamento.

5. Scegli Save (Salva).

Gli endpoint OIDC utilizzano il seguente formato. Sostituiscilo <PINGFEDERATE_HOST> con il nome host del server. PingFederate

Campo	Valore
URL dell’emittente	https://<PINGFEDERATE_HOST>
Endpoint di autorizzazione	https://<PINGFEDERATE_HOST>/as/authorization.oauth2
Endpoint Token	https://<PINGFEDERATE_HOST>/as/token.oauth2
JWKS URI	https://<PINGFEDERATE_HOST>/pf/JWKS

PingOne

Per istruzioni dettagliate, consulta Modifica di un'applicazione: nativa nella documentazione di Ping Identity.

Per creare l'applicazione PingOne nativa OIDC

1. Nella console di PingOne amministrazione, vai su Applicazioni → Applicazioni e scegli l'icona +.

2. Inserisci Amazon Quick Desktop come nome dell'applicazione.

3. Nella sezione Tipo di applicazione, seleziona Nativo, quindi scegli Salva.

4. Nella scheda Configurazione, scegli Modifica e configura le seguenti impostazioni:

   Impostazione	Valore
   Tipo di risposta	Codice
   Tipo di sovvenzione	Codice di autorizzazione e token di aggiornamento
   Applicazione PKCE	S256
   Redirect URIs (URI di reindirizzamento)	http://localhost:18080
   Metodo di autenticazione Token Endpoint	Nessuno

5. Scegli Save (Salva).

6. Nella scheda Risorse, aggiungi i seguenti ambiti:openid,,email,profile. offline_access

7. Nella scheda Mappature degli attributi, verifica che l'emailattributo sia mappato all'indirizzo e-mail dell'utente.

8. Attiva l'applicazione su Attivata.

9. Annota l'ID client e l'ID ambiente nella scheda Configurazione.

Nota

Il PingOne dominio varia in base alla regione. Gli esempi seguenti utilizzano.com. Sostituisci il dominio con quello del tuo ambiente (ad esempio.ca,.eu, o.asia).

Gli endpoint OIDC utilizzano il seguente formato. Sostituiscilo <ENV_ID> con il tuo PingOne ID di ambiente.

Campo	Valore
URL dell’emittente	https://auth.pingone.com/<ENV_ID>/as
Endpoint di autorizzazione	https://auth.pingone.com/<ENV_ID>/as/authorize
Endpoint Token	https://auth.pingone.com/<ENV_ID>/as/token
JWKS URI	https://auth.pingone.com/<ENV_ID>/as/jwks

Fase 2: Creare un emittente di token affidabile in IAM Identity Center

Nota

Questo passaggio è necessario solo se il tuo account Amazon Quick utilizza AWS Identity and Access Management Identity Center per l'autenticazione. Se il tuo account utilizza la federazione IAM, salta questo passaggio e procedi allo Step 3.

Il TTI indica a IAM Identity Center di fidarsi dei token del tuo IdP e di mapparli agli utenti di IAM Identity Center. È possibile creare il TTI nella console di AWS Identity and Access Management Identity Center o con la AWS CLI.

Per ulteriori informazioni, consulta Configurazione di un emittente di token affidabile nella Guida per l'utente di AWS Identity and Access Management Identity Center.

Per creare il TTI nella console IAM Identity Center

1. Apri la console AWS Identity and Access Management Identity Center.

2. Seleziona Impostazioni.

3. Nella pagina Impostazioni, scegli la scheda Autenticazione.

4. In Trusted token issuers, scegli Crea un emittente di token affidabile.

5. Nella pagina Configura un IdP esterno per l'emissione di token affidabili, in Dettagli sull'emittente del token affidabile, configura quanto segue:

   Campo	Valore
   URL dell’emittente	L'URL dell'emittente OIDC riportato nella fase 1 (vedere la tabella seguente)
   Nome affidabile dell'emittente del token	AmazonQuickDesktop

6. In Map attributes, configura la mappatura degli attributi utilizzata da IAM Identity Center per cercare gli utenti:

   Campo	Valore
   Attributo del provider di identità	L'attestazione nel token IdP che identifica l'utente (ad esempio,) email
   Attributo IAM Identity Center	L'attributo corrispondente nell'archivio di identità di IAM Identity Center (ad esempio,emails.value)

   Importante

   L'attributo del provider di identità deve corrispondere a un'affermazione che il tuo IdP include nel token e l'attributo IAM Identity Center deve identificare in modo univoco l'utente nel tuo archivio di identità. La mappatura più comune è email →emails.value, ma l'organizzazione può utilizzare un attributo diverso, ad esempio un'attestazione sub personalizzata. Il valore nella dichiarazione del token deve corrispondere esattamente al valore dell'attributo corrispondente in IAM Identity Center.

7. Scegli Crea emittente di token attendibili.

8. Nota l'ARN dell'emittente di token affidabile. Questo valore servirà nella fase successiva.

In alternativa, per creare il TTI con la AWS CLI, esegui il comando seguente. <IDC_INSTANCE_ARN>Sostituiscilo con la tua istanza IAM Identity Center Amazon Resource Name (ARN) e <ISSUER_URL> con l'URL dell'emittente dello Step 1.

aws sso-admin create-trusted-token-issuer \
  --instance-arn <IDC_INSTANCE_ARN> \
  --name "AmazonQuickDesktop" \
  --trusted-token-issuer-type OIDC_JWT \
  --trusted-token-issuer-configuration '{
    "OidcJwtConfiguration": {
      "IssuerUrl": "<ISSUER_URL>",
      "ClaimAttributePath": "email",
      "IdentityStoreAttributePath": "emails.value",
      "JwksRetrievalOption": "OPEN_ID_DISCOVERY"
    }
  }'

Nota quanto riportato nell'TrustedTokenIssuerArnoutput. Questo valore servirà nella fase successiva.

La tabella seguente elenca l'URL dell'emittente per ogni provider di identità.

Gestore dell’identità digitale	URL dell’emittente
ID Microsoft Entra	https://login.microsoftonline.com/<TENANT_ID>/v2.0
Okta	https://<OKTA_DOMAIN>/oauth2/default
PingFederate	https://<PINGFEDERATE_HOST>
PingOne	https://auth.pingone.com/<ENV_ID>/as

Fase 3: configurare l'accesso all'estensione nella console di gestione Amazon Quick

Per aggiungere l'accesso all'estensione

1. Accedi alla console di gestione Amazon Quick.

2. In Autorizzazioni, scegli Accesso tramite estensione.

3. Scegli Aggiungi accesso all'estensione.

4. (Facoltativo) Se il tuo account utilizza IAM Identity Center, viene visualizzato il passaggio Trusted Token Issuer Setup. Immetti i seguenti dati:

   Campo	Valore
   ARN dell'emittente di token affidabile	TrustedTokenIssuerArnDalla Fase 2
   Reclamo Aud	L'ID cliente della fase 1

   Questo passaggio non viene visualizzato per gli account che utilizzano la federazione IAM.

5. Seleziona l'applicazione Desktop per l'estensione rapida e scegli Avanti.

6. Inserisci i dettagli dell'estensione Amazon Quick:

   Campo	Valore
   Nome	Un nome per questo accesso all'estensione
   Description	(Facoltativo) Una descrizione
   URL dell’emittente	L'URL dell'emittente OIDC riportato nella fase 1
   Endpoint di autorizzazione	L'URL dell'endpoint di autorizzazione OIDC del passaggio 1
   Token Endpoint	L'URL dell'endpoint del token OIDC riportato nella fase 1
   JWKS URI	L'URI del set di chiavi Web JSON del passaggio 1
   ID client	L'identificatore del client OIDC del passaggio 1

7. Scegliere Aggiungi.

   Importante

   Verifica che tutti i valori siano corretti prima di scegliere Aggiungi. La configurazione dell'accesso all'estensione non può essere modificata dopo la creazione. Se un valore non è corretto, è necessario eliminare l'accesso all'estensione e crearne uno nuovo.

Per creare l'estensione

1. Nella console Amazon Quick, nella barra di navigazione a sinistra sotto Connect app and data, scegli Estensioni.

2. Scegli Aggiungi estensione.

3. Seleziona l'applicazione Desktop per l'accesso rapido alle estensioni che hai creato in precedenza. Scegli Next (Successivo).

4. Scegli Create (Crea).

Passaggio 4: scaricare e distribuire l'applicazione desktop

Dopo aver configurato l'accesso aziendale, verifica la configurazione scaricando e installando tu stesso l'applicazione desktop. Scegli Enterprise login nella schermata di accesso e autenticati con le tue credenziali aziendali per confermare che la configurazione funzioni. Per le fasi di download e installazione, consulta. Nozioni di base

Se l'accesso non riesce, verifica i valori inseriti nel passaggio 3 confrontandoli con gli endpoint OIDC del passaggio 1. Se un valore non è corretto, elimina l'accesso all'estensione in Autorizzazioni → Accesso all'estensione e ripeti il passaggio 3 con i valori corretti.

Dopo aver verificato la configurazione, indirizza gli utenti alle istruzioni Nozioni di base per il download, l'installazione e l'accesso.

Risoluzione dei problemi

Errore redirect_mismatch

Verifica che l'URI di reindirizzamento nel tuo IdP sia http://localhost:18080 esatto e configurato come client pubblico o piattaforma nativa.

Utente non trovato dopo l'accesso

L'e-mail nel token IdP deve corrispondere esattamente all'e-mail di un utente in IAM Identity Center. Verifica che l'utente abbia ricevuto il provisioning e che gli indirizzi e-mail siano identici in entrambi i sistemi.

Errore di convalida del token

Verifica che l'URL dell'emittente nel TTI corrisponda esattamente all'URL dell'emittente nella configurazione OIDC del tuo IdP.

Errori di consenso o autorizzazione (Microsoft Entra ID)

Concedi il consenso dell'amministratore per le autorizzazioni API richieste nel portale di Azure. Vai alla pagina delle autorizzazioni API della registrazione dell'app e scegli Concedi il consenso dell'amministratore per [la tua organizzazione].

La sessione scade frequentemente

Verifica che il tuo IdP sia configurato per emettere token di aggiornamento. Per Microsoft Entra ID, l'offline_accessambito è obbligatorio. Per Okta, il tipo di concessione Refresh Token deve essere abilitato e l'offline_accessambito deve essere concesso. Per Ping Identity, il tipo di concessione Refresh Token deve essere abilitato e l'offline_accessambito deve essere concesso. Inoltre PingFederate, verifica anche che Return ID Token On Refresh Grant sia selezionato nella politica OIDC.

invalid_scopeerrore (Okta)

Verifica che offline_access sia abilitato sul tuo server di autorizzazione. Vai a Sicurezza → API → Server di autorizzazione → predefinito → Ambiti e conferma che l'ambito sia presente. Verifica inoltre che la politica di accesso per l'applicazione consenta il tipo di concessione Refresh Token.

Applicazione non abilitata () PingOne

Se l'autenticazione fallisce immediatamente senza raggiungere la pagina di PingOne accesso, verifica che l'interruttore dell'applicazione sia impostato su Attivato nella console di PingOne amministrazione.

Richiesta e-mail mancante dopo l'aggiornamento () PingFederate

Verifica che il email claim sia incluso nell'Attribute Contract della politica OIDC e mappato all'attributo utente corretto. La mappatura deve produrre l'emailattestazione sia per l'autenticazione iniziale che per la concessione del token di aggiornamento.