Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione di Amazon Quick su desktop per distribuzioni aziendali
<a name="desktop-enterprise-setup"></a>


|  | 
| --- |
|    Si applica a: Enterprise Edition e Standard Edition  | 


|  | 
| --- |
|    Destinatari: amministratori di sistema  | 

Per utilizzare Amazon Quick su desktop per distribuzioni aziendali, gli amministratori devono configurare l'Enterprise Single Sign-On (SSO) in modo che gli utenti dell'organizzazione possano accedere con le proprie credenziali aziendali. Questa configurazione collega il provider di identità (IdP) compatibile con OpenID Connect (OIDC) della tua organizzazione ad Amazon Quick.

**Nota**  
Se utilizzi un account Free o Plus, questa sezione non ti riguarda. Continua su [Nozioni di base](getting-started-desktop.md).

La configurazione prevede i seguenti passaggi, nell'ordine:

1. Crea un'applicazione OIDC nel tuo IdP.

1. Crea un Trusted Token Issuer (TTI) in IAM Identity Center (richiesto solo per gli account che utilizzano IAM Identity Center per l'autenticazione).

1. Configura l'accesso all'estensione nella console di gestione Amazon Quick.

1. Distribuisci l'applicazione desktop ai tuoi utenti.

Questa guida fornisce IdP-specific istruzioni per Microsoft Entra ID, Okta e Ping Identity (PingFederate and PingOne). Consulta le istruzioni per il tuo provider di identità specifico di seguito.

## Come funziona l'accesso aziendale
<a name="desktop-enterprise-how-it-works"></a>

L'applicazione desktop Amazon Quick utilizza il protocollo OIDC per autenticare gli utenti. Quando un utente sceglie **Enterprise login**, l'applicazione apre una finestra del browser e reindirizza all'endpoint di autorizzazione del tuo IdP. L'applicazione scambia quindi il codice di autorizzazione risultante in token utilizzando Proof Key for Code Exchange (PKCE).

Amazon Quick convalida il token e associa l'utente a un'identità nel tuo account. Per gli account che utilizzano IAM Identity Center, il TTI associa il `email` claim nel token OIDC all'`emails.value`attributo nell'archivio di identità. Per gli account che utilizzano la federazione IAM, Amazon Quick mappa l'utente direttamente tramite e-mail. In entrambi i casi, l'indirizzo e-mail del tuo IdP deve corrispondere esattamente all'indirizzo e-mail dell'utente in Amazon Quick.

## Prerequisiti
<a name="desktop-enterprise-prerequisites"></a>

Prima di iniziare, verifica di disporre di quanto segue:
+ Un AWS account con un abbonamento Amazon Quick attivo che utilizza IAM Identity Center o la federazione IAM per l'autenticazione. La regione di origine dell'account Amazon Quick (regione di identità) deve essere Stati Uniti orientali (Virginia settentrionale) (us-east-1).
+ Accesso da amministratore al tuo account Amazon Quick.
+ Accedi al tuo IdP con le autorizzazioni per creare registrazioni di applicazioni OIDC.

**Importante**  
La regione di origine dell'account Amazon Quick (regione di identità) deve essere Stati Uniti orientali (Virginia settentrionale) (us-east-1). Tutte le inferenze per l'applicazione desktop utilizzano anche questa regione. Sebbene Amazon Quick sul Web possa essere utilizzato in altre regioni, l'applicazione desktop si connette a us-east-1 sia per l'autenticazione che per l'inferenza.

## Fase 1: crea un'applicazione OIDC nel tuo provider di identità
<a name="desktop-enterprise-step1"></a>

Registra un'applicazione client OIDC pubblica nel tuo IdP. L'applicazione desktop Amazon Quick utilizza questo client per autenticare gli utenti tramite il flusso del codice di autorizzazione con PKCE. Non è richiesto alcun segreto del client.

L'applicazione desktop richiede token di aggiornamento per mantenere sessioni di lunga durata. La modalità di configurazione dei token di aggiornamento dipende dal tuo IdP:
+ **ID Microsoft Entra**: l'`offline_access`ambito deve essere concesso. In caso contrario, gli utenti devono riautenticarsi frequentemente.
+ **Okta** — Il tipo di concessione Refresh Token deve essere abilitato sull'applicazione e l'`offline_access`ambito deve essere concesso.
+ **Ping Identity**: il tipo di concessione Refresh Token deve essere abilitato e l'`offline_access`ambito deve essere concesso. Infatti PingFederate, l'impostazione **Return ID Token On Refresh Grant** deve essere abilitata anche nella politica OIDC.

Scegli le istruzioni per il tuo provider di identità.

### ID Microsoft Entra
<a name="desktop-enterprise-entra-id"></a>

Per istruzioni dettagliate, vedi [Registrare un'applicazione](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app) nella documentazione di Microsoft Entra.

**Per creare la registrazione dell'app Entra ID**

1. Nel portale di Azure, vai a **Microsoft Entra ID → Registrazioni app → Nuova** registrazione.

1. Configura le impostazioni seguenti:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/quick/latest/userguide/desktop-enterprise-setup.html)

1. Scegli **Registrati**.

1. Nella pagina **Panoramica**, annota l'ID dell'**applicazione (client) e l'ID** della **directory (tenant)**. Questi valori sono necessari nei passaggi successivi.

Questa è una registrazione pubblica del cliente. PKCE viene applicato automaticamente da Entra ID per i clienti pubblici.

**Per configurare le autorizzazioni API**

1. Nella registrazione dell'app, vai a **Autorizzazioni API → Aggiungi un'autorizzazione → Microsoft Graph → Autorizzazioni delegate**.

1. Aggiungi le seguenti autorizzazioni:`openid`,,,. `email` `profile` `offline_access`

1. Scegli **Add Permissions (Aggiungi autorizzazioni)**.

1. Se la tua organizzazione lo richiede, scegli **Concedi il consenso amministrativo per [la tua organizzazione]**.

**Per configurare le impostazioni di autenticazione**

1. Nella registrazione dell'app, vai su **Autenticazione**.

1. In **Impostazioni avanzate**, imposta **Consenti flussi di client pubblici** su **Sì**.

1. Verifica che `http://localhost:18080` sia elencato in **Applicazioni mobili e desktop**.

1. Scegli **Save** (Salva).

Gli endpoint OIDC utilizzano il seguente formato. `<TENANT_ID>`Sostituiscilo con il tuo ID di directory (tenant).


| Campo | Valore | 
| --- | --- | 
| URL dell’emittente | https://login.microsoftonline.com/<TENANT\_ID>/v2.0 | 
| Endpoint di autorizzazione | https://login.microsoftonline.com/<TENANT\_ID>/oauth2/v2.0/authorize | 
| Endpoint Token | https://login.microsoftonline.com/<TENANT\_ID>/oauth2/v2.0/token | 
| JWKS URI | https://login.microsoftonline.com/<TENANT\_ID>/discovery/v2.0/keys | 

### Okta
<a name="desktop-enterprise-okta"></a>

Per istruzioni dettagliate, consulta [Create integrazioni con l'app OpenID Connect](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_oidc.htm) nella documentazione di Okta.

**Per creare l'applicazione nativa Okta OIDC**

1. Nella console di amministrazione Okta, vai su **Applicazioni → Applicazioni → Crea integrazione** di app.

1. Seleziona **OIDC - OpenID Connect** come metodo di accesso.

1. **Seleziona **Applicazione nativa come tipo di applicazione**, quindi scegli Avanti.**

1. Configura le impostazioni seguenti:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/quick/latest/userguide/desktop-enterprise-setup.html)

1. Scegli **Save** (Salva).

1. Nella scheda **Generale**, annota l'**ID client.**

PKCE (S256) viene applicato automaticamente da Okta per le applicazioni native.

**Per configurare gli ambiti**

1. Nella Okta Admin Console, vai a **Sicurezza → API → Server di autorizzazione** e seleziona il tuo server di autorizzazione (ad esempio, **predefinito**).

1. Nella scheda **Ambiti**, verifica che i seguenti ambiti siano abilitati:`openid`,,,`email`. `profile` `offline_access`

1. Nella scheda **Politiche di accesso**, verifica che la politica assegnata a questa applicazione consenta `Authorization Code` i tipi di `Refresh Token` concessione.

**Per verificare le impostazioni di autenticazione**

1. Nell'integrazione dell'app, vai alla scheda **Generale**.

1. In **Impostazioni generali**, verifica che il tipo di applicazione sia **Native**, che l'autenticazione del client sia **Nessuna** (client pubblico) e che PKCE sia **richiesto**.

1. In **LOGIN**, conferma che `http://localhost:18080` sia elencato come URI di reindirizzamento.

1. Scegli **Salva** se hai apportato delle modifiche.

Gli endpoint OIDC utilizzano il seguente formato. `<OKTA_DOMAIN>`Sostituiscilo con il tuo dominio Okta (ad esempio,). `your-org.okta.com`


| Campo | Valore | 
| --- | --- | 
| URL dell’emittente | https://<OKTA\_DOMAIN>/oauth2/default | 
| Endpoint di autorizzazione | https://<OKTA\_DOMAIN>/oauth2/default/v1/authorize | 
| Endpoint Token | https://<OKTA\_DOMAIN>/oauth2/default/v1/token | 
| JWKS URI | https://<OKTA\_DOMAIN>/oauth2/default/v1/keys | 

### Identità Ping
<a name="desktop-enterprise-ping-identity"></a>

Scegli le istruzioni per il tuo prodotto Ping Identity.

#### PingFederate
<a name="desktop-enterprise-pingfederate"></a>

Per istruzioni dettagliate, consulta [Configurazione di un'applicazione OIDC PingFederate nella documentazione](https://docs.pingidentity.com/solution-guides/customer_use_cases/htg_oidc_app_setup_pf.html) di Ping Identity.

**Per creare il client PingFederate OIDC**

1. **Nella console di PingFederate amministrazione, vai su **Applicazioni → OAuth → Client e scegli Aggiungi client**.**

1. Nel campo **ID cliente**, inserisci un identificatore univoco per questo client.

1. Nel campo **Name (Nome)**, inserire `Amazon Quick Desktop`.

1. Per **Autenticazione client**, seleziona **Nessuno**.

1. Nella sezione **URI di reindirizzamento**, inserisci `http://localhost:18080` e scegli **Aggiungi**.

1. Nell'elenco **Tipi di concessione consentiti**, seleziona **Codice di autorizzazione** e **Aggiorna token**.

1. Seleziona la casella di **controllo Richiedi Proof Key for Code Exchange (PKCE).**

1. In **Common Scopes**, concedi quanto segue:`openid`,,,`email`. `profile` `offline_access`

1. Scegli **Save** (Salva).

1. Annota l'**ID client.** Questo valore è necessario nei passaggi successivi.

**Per configurare la politica OIDC**

1. Nella console di PingFederate amministrazione, vai su **Applicazioni → OAuth → OpenID Connect** Policy Management.

1. Seleziona la politica OIDC associata a questo client o scegli **Aggiungi** politica per crearne una.

1. Seleziona la casella di controllo **Return ID Token On Refresh Grant**. Ciò garantisce che l'applicazione desktop riceva un nuovo token ID con le affermazioni correnti durante l'aggiornamento della sessione.

1. In **Attribute Contract**, verifica che l'`email`attestazione sia inclusa e mappata all'attributo utente corrispondente nella fonte di autenticazione. L'`email`attestazione deve essere presente nei token emessi sia durante l'autenticazione iniziale che durante la concessione di token di aggiornamento.

1. Scegli **Save** (Salva).

Gli endpoint OIDC utilizzano il seguente formato. Sostituiscilo `<PINGFEDERATE_HOST>` con il nome host del server. PingFederate 


| Campo | Valore | 
| --- | --- | 
| URL dell’emittente | https://<PINGFEDERATE\_HOST> | 
| Endpoint di autorizzazione | https://<PINGFEDERATE\_HOST>/as/authorization.oauth2 | 
| Endpoint Token | https://<PINGFEDERATE\_HOST>/as/token.oauth2 | 
| JWKS URI | https://<PINGFEDERATE\_HOST>/pf/JWKS | 

#### PingOne
<a name="desktop-enterprise-pingone"></a>

Per istruzioni dettagliate, consulta [Modifica di un'applicazione: nativa nella documentazione](https://docs.pingidentity.com/pingone/applications/p1_edit_application_native.html) di Ping Identity.

**Per creare l'applicazione PingOne nativa OIDC**

1. Nella console di PingOne amministrazione, vai su **Applicazioni → Applicazioni** e scegli l'icona **\+**.

1. Inserisci `Amazon Quick Desktop` come nome dell'applicazione.

1. Nella sezione **Tipo di applicazione**, seleziona **Nativo**, quindi scegli **Salva**.

1. Nella scheda **Configurazione**, scegli **Modifica** e configura le seguenti impostazioni:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/quick/latest/userguide/desktop-enterprise-setup.html)

1. Scegli **Save** (Salva).

1. Nella scheda **Risorse**, aggiungi i seguenti ambiti:`openid`,,`email`,`profile`. `offline_access`

1. Nella scheda **Mappature degli attributi**, verifica che l'`email`attributo sia mappato all'indirizzo e-mail dell'utente.

1. **Attiva l'applicazione su Attivata.**

1. Annota l'**ID client** e **l'ID ambiente** nella scheda **Configurazione**.

**Nota**  
Il PingOne dominio varia in base alla regione. Gli esempi seguenti utilizzano`.com`. Sostituisci il dominio con quello del tuo ambiente (ad esempio`.ca`,`.eu`, o`.asia`).

Gli endpoint OIDC utilizzano il seguente formato. Sostituiscilo `<ENV_ID>` con il tuo PingOne ID di ambiente.


| Campo | Valore | 
| --- | --- | 
| URL dell’emittente | https://auth.pingone.com/<ENV\_ID>/as | 
| Endpoint di autorizzazione | https://auth.pingone.com/<ENV\_ID>/as/authorize | 
| Endpoint Token | https://auth.pingone.com/<ENV\_ID>/as/token | 
| JWKS URI | https://auth.pingone.com/<ENV\_ID>/as/jwks | 

## Fase 2: Creare un emittente di token affidabile in IAM Identity Center
<a name="desktop-enterprise-step2"></a>

**Nota**  
Questo passaggio è necessario solo se il tuo account Amazon Quick utilizza AWS Identity and Access Management Identity Center per l'autenticazione. Se il tuo account utilizza la federazione IAM, salta questo passaggio e procedi allo Step 3.

Il TTI indica a IAM Identity Center di fidarsi dei token del tuo IdP e di mapparli agli utenti di IAM Identity Center. È possibile creare il TTI nella console di AWS Identity and Access Management Identity Center o con la AWS CLI.

Per ulteriori informazioni, consulta [Configurazione di un emittente di token affidabile](https://docs.aws.amazon.com/singlesignon/latest/userguide/setuptrustedtokenissuer.html) nella Guida per l'utente di *AWS Identity and Access Management Identity Center*.

**Per creare il TTI nella console IAM Identity Center**

1. Apri la [console AWS Identity and Access Management Identity Center](https://console.aws.amazon.com/singlesignon).

1. Seleziona **Impostazioni**.

1. Nella pagina **Impostazioni**, scegli la scheda **Autenticazione**.

1. In **Trusted token issuers**, scegli **Crea un emittente di token affidabile**.

1. Nella pagina **Configura un IdP esterno per l'emissione di token affidabili**, in **Dettagli sull'emittente del token affidabile**, configura quanto segue:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/quick/latest/userguide/desktop-enterprise-setup.html)

1. In **Map attributes**, configura la mappatura degli attributi utilizzata da IAM Identity Center per cercare gli utenti:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/quick/latest/userguide/desktop-enterprise-setup.html)
**Importante**  
L'attributo del provider di identità deve corrispondere a un'affermazione che il tuo IdP include nel token e l'attributo IAM Identity Center deve identificare in modo univoco l'utente nel tuo archivio di identità. La mappatura più comune è `email` →`emails.value`, ma l'organizzazione può utilizzare un attributo diverso, ad esempio un'attestazione `sub` personalizzata. Il valore nella dichiarazione del token deve corrispondere esattamente al valore dell'attributo corrispondente in IAM Identity Center.

1. Scegli **Crea emittente di token attendibili**.

1. Nota l'**ARN dell'emittente di token affidabile**. Questo valore servirà nella fase successiva.

In alternativa, per creare il TTI con la AWS CLI, esegui il comando seguente. `<IDC_INSTANCE_ARN>`Sostituiscilo con la tua istanza IAM Identity Center Amazon Resource Name (ARN) e `<ISSUER_URL>` con l'URL dell'emittente dello Step 1.

```
aws sso-admin create-trusted-token-issuer \
  --instance-arn <IDC_INSTANCE_ARN> \
  --name "AmazonQuickDesktop" \
  --trusted-token-issuer-type OIDC_JWT \
  --trusted-token-issuer-configuration '{
    "OidcJwtConfiguration": {
      "IssuerUrl": "<ISSUER_URL>",
      "ClaimAttributePath": "email",
      "IdentityStoreAttributePath": "emails.value",
      "JwksRetrievalOption": "OPEN_ID_DISCOVERY"
    }
  }'
```

Nota quanto riportato nell'`TrustedTokenIssuerArn`output. Questo valore servirà nella fase successiva.

La tabella seguente elenca l'URL dell'emittente per ogni provider di identità.


| Gestore dell’identità digitale | URL dell’emittente | 
| --- | --- | 
| ID Microsoft Entra | https://login.microsoftonline.com/<TENANT\_ID>/v2.0 | 
| Okta | https://<OKTA\_DOMAIN>/oauth2/default | 
| PingFederate | https://<PINGFEDERATE\_HOST> | 
| PingOne | https://auth.pingone.com/<ENV\_ID>/as | 

## Fase 3: configurare l'accesso all'estensione nella console di gestione Amazon Quick
<a name="desktop-enterprise-step3"></a>

**Per aggiungere l'accesso all'estensione**

1. Accedi alla console di gestione Amazon Quick.

1. In **Autorizzazioni**, scegli **Accesso tramite estensione**.

1. Scegli **Aggiungi accesso all'estensione**.

1. (Facoltativo) Se il tuo account utilizza IAM Identity Center, viene visualizzato il passaggio **Trusted Token Issuer Setup**. Immetti i seguenti dati:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/quick/latest/userguide/desktop-enterprise-setup.html)

   Questo passaggio non viene visualizzato per gli account che utilizzano la federazione IAM.

1. Seleziona l'**applicazione Desktop per l'estensione rapida** e scegli **Avanti**.

1. Inserisci i dettagli dell'estensione Amazon Quick:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/quick/latest/userguide/desktop-enterprise-setup.html)

1. Scegliere **Aggiungi**.
**Importante**  
**Verifica che tutti i valori siano corretti prima di scegliere Aggiungi.** La configurazione dell'accesso all'estensione non può essere modificata dopo la creazione. Se un valore non è corretto, è necessario eliminare l'accesso all'estensione e crearne uno nuovo.

**Per creare l'estensione**

1. Nella console Amazon Quick, nella barra di navigazione a sinistra sotto **Connect app and data**, scegli **Estensioni**.

1. Scegli **Aggiungi estensione**.

1. Seleziona l'**applicazione Desktop per l'accesso rapido** alle estensioni che hai creato in precedenza. Scegli **Next (Successivo)**.

1. Scegli **Create** (Crea).

## Passaggio 4: scaricare e distribuire l'applicazione desktop
<a name="desktop-enterprise-step4"></a>

Dopo aver configurato l'accesso aziendale, verifica la configurazione scaricando e installando tu stesso l'applicazione desktop. Scegli **Enterprise login** nella schermata di accesso e autenticati con le tue credenziali aziendali per confermare che la configurazione funzioni. Per le fasi di download e installazione, consulta. [Nozioni di base](getting-started-desktop.md)

Se l'accesso non riesce, verifica i valori inseriti nel passaggio 3 confrontandoli con gli endpoint OIDC del passaggio 1. Se un valore non è corretto, elimina l'accesso all'estensione in **Autorizzazioni → Accesso all'estensione** e ripeti il passaggio 3 con i valori corretti.

Dopo aver verificato la configurazione, indirizza gli utenti alle istruzioni [Nozioni di base](getting-started-desktop.md) per il download, l'installazione e l'accesso.

## Risoluzione dei problemi
<a name="desktop-enterprise-troubleshooting"></a>

Errore `redirect_mismatch`  
Verifica che l'URI di reindirizzamento nel tuo IdP sia `http://localhost:18080` esatto e configurato come client pubblico o piattaforma nativa.

Utente non trovato dopo l'accesso  
L'e-mail nel token IdP deve corrispondere esattamente all'e-mail di un utente in IAM Identity Center. Verifica che l'utente abbia ricevuto il provisioning e che gli indirizzi e-mail siano identici in entrambi i sistemi.

Errore di convalida del token  
Verifica che l'URL dell'emittente nel TTI corrisponda esattamente all'URL dell'emittente nella configurazione OIDC del tuo IdP.

Errori di consenso o autorizzazione (Microsoft Entra ID)  
Concedi il consenso dell'amministratore per le autorizzazioni API richieste nel portale di Azure. Vai alla pagina delle **autorizzazioni API** della registrazione dell'app e scegli **Concedi il consenso dell'amministratore per [la tua organizzazione]**.

La sessione scade frequentemente  
Verifica che il tuo IdP sia configurato per emettere token di aggiornamento. Per Microsoft Entra ID, l'`offline_access`ambito è obbligatorio. Per Okta, il tipo di concessione Refresh Token deve essere abilitato e l'`offline_access`ambito deve essere concesso. Per Ping Identity, il tipo di concessione Refresh Token deve essere abilitato e l'`offline_access`ambito deve essere concesso. Inoltre PingFederate, verifica anche che **Return ID Token On Refresh Grant** sia selezionato nella politica OIDC.

`invalid_scope`errore (Okta)  
Verifica che `offline_access` sia abilitato sul tuo server di autorizzazione. Vai a **Sicurezza → API → Server di autorizzazione → predefinito → Ambiti** e conferma che l'ambito sia presente. Verifica inoltre che la politica di accesso per l'applicazione consenta il tipo di concessione Refresh Token.

Applicazione non abilitata () PingOne  
Se l'autenticazione fallisce immediatamente senza raggiungere la pagina di PingOne accesso, verifica che l'interruttore dell'applicazione sia impostato su **Attivato** nella console di PingOne amministrazione.

Richiesta e-mail mancante dopo l'aggiornamento () PingFederate  
Verifica che il `email` claim sia incluso nell'**Attribute Contract della politica OIDC e mappato all'attributo** utente corretto. La mappatura deve produrre l'`email`attestazione sia per l'autenticazione iniziale che per la concessione del token di aggiornamento.