View a markdown version of this page

Configurando o Amazon Quick no desktop para implantações corporativas - Amazon Quick
Como funciona o login corporativoPré-requisitosEtapa 1: Crie um aplicativo OIDC em seu provedor de identidadeEtapa 2: criar um emissor de token confiável no IAM Identity CenterEtapa 3: Configurar o acesso à extensão no console de gerenciamento Amazon QuickEtapa 4: Baixe e distribua o aplicativo de desktopSolução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando o Amazon Quick no desktop para implantações corporativas

   Aplica-se a: Enterprise Edition e Standard Edition 
   Público-alvo: administradores de sistemas 

Para usar o Amazon Quick no desktop para implantações corporativas, os administradores devem configurar o login único corporativo (SSO) para que os usuários da organização possam fazer login com suas credenciais corporativas. Essa configuração conecta o provedor de identidade (IdP) compatível com o OpenID Connect (OIDC) da sua organização ao Amazon Quick.

nota

Se você estiver usando uma conta gratuita ou Plus, esta seção não se aplica a você. Avance para Introdução.

A configuração envolve as seguintes etapas, na ordem:

  1. Crie um aplicativo OIDC em seu IdP.

  2. Crie um Trusted Token Issuer (TTI) no IAM Identity Center (necessário somente para contas que usam o IAM Identity Center para autenticação).

  3. Configure o acesso à extensão no console de gerenciamento Amazon Quick.

  4. Distribua o aplicativo de desktop para seus usuários.

Este guia fornece instruções específicas do IDP para Microsoft Entra ID, Okta e Google PingOne Workspace. Veja as instruções para seu provedor de identidade específico abaixo.

Como funciona o login corporativo

O aplicativo de desktop Amazon Quick usa o protocolo OIDC para autenticar usuários. Quando um usuário escolhe o login Enterprise, o aplicativo abre uma janela do navegador e redireciona para o endpoint de autorização do seu IdP. O aplicativo então troca o código de autorização resultante por tokens usando o Proof Key for Code Exchange (PKCE).

O Amazon Quick valida o token e mapeia o usuário para uma identidade em sua conta. Para contas que usam o IAM Identity Center, o TTI mapeia a email declaração no token OIDC para o emails.value atributo no repositório de identidades. Para contas que usam a federação do IAM, o Amazon Quick mapeia o usuário diretamente por e-mail. Em ambos os casos, o endereço de e-mail em seu IdP deve corresponder exatamente ao endereço de e-mail do usuário no Amazon Quick.

Pré-requisitos

Antes de começar, verifique se você tem o seguinte:

  • Uma AWS conta com uma assinatura ativa do Amazon Quick que usa o IAM Identity Center ou a federação do IAM para autenticação. A região de origem da conta Amazon Quick (região de identidade) deve ser Leste dos EUA (Norte da Virgínia) (us-east-1).

  • Acesso de administrador à sua conta Amazon Quick.

  • Acesso ao seu IdP com permissões para criar registros de aplicativos OIDC.

Importante

A região de origem da conta Amazon Quick (região de identidade) deve ser Leste dos EUA (Norte da Virgínia) (us-east-1). Toda inferência para o aplicativo de desktop também usa essa região. Embora o Amazon Quick na web possa ser usado em outras regiões, o aplicativo de desktop se conecta ao us-east-1 para autenticação e inferência.

Etapa 1: Crie um aplicativo OIDC em seu provedor de identidade

Registre um aplicativo cliente público do OIDC em seu IdP. O aplicativo de desktop Amazon Quick usa esse cliente para autenticar usuários por meio do fluxo de código de autorização com o PKCE. Nenhum segredo do cliente é necessário.

O aplicativo de desktop requer tokens de atualização para manter sessões de longa duração. A forma como os tokens de atualização são configurados depende do seu IdP:

  • Microsoft Entra ID — O offline_access escopo deve ser concedido. Sem isso, os usuários devem se autenticar novamente com frequência.

  • Okta — O tipo de concessão do Refresh Token deve estar ativado no aplicativo e o offline_access escopo deve ser concedido.

  • PingOne— O tipo de concessão do Refresh Token deve estar ativado. O offline_access escopo é opcional, mas recomendado.

  • Google Workspace — Os tokens de atualização são retornados automaticamente para aplicativos de desktop. Não é exigida nenhuma configuração adicional.

Escolha as instruções para seu provedor de identidade.

Microsoft Entra ID

Para criar o registro do aplicativo Entra ID

  1. No portal do Azure, navegue até Microsoft Entra ID → Registros de aplicativos → Novo registro.

  2. Configure as seguintes opções:

    Configuração Valor
    Nome Amazon Quick Desktop
    Tipos de conta compatíveis Contas somente neste diretório organizacional (inquilino único)
    Plataforma de redirecionamento de URI Público client/native (móvel e desktop)
    URI de redirecionamento http://localhost:18080

  3. Escolha Registrar.

  4. Na página Visão geral, anote o ID do aplicativo (cliente) e o ID do diretório (locatário). Você precisará desses valores em etapas posteriores.

Este é um registro público de cliente. O PKCE é aplicado automaticamente pelo Entra ID para clientes públicos.

Para configurar as permissões da API

  1. No registro do aplicativo, navegue até Permissões da API → Adicionar uma permissão → Microsoft Graph → Permissões delegadas.

  2. Adicione as seguintes permissões:openid,email,profile,offline_access.

  3. Escolha Adicionar permissões.

  4. Se sua organização exigir, escolha Conceder consentimento do administrador para [sua organização].

Para definir as configurações de autenticação

  1. No registro do aplicativo, navegue até Autenticação.

  2. Em Configurações avançadas, defina Permitir fluxos de clientes públicos como Sim.

  3. Verifique se http://localhost:18080 está listado em Aplicativos móveis e de desktop.

  4. Escolha Salvar.

Seus endpoints do OIDC usam o seguinte formato. <TENANT_ID>Substitua pelo ID do seu diretório (inquilino).

Campo Valor
URL do emissor https://login.microsoftonline.com/<TENANT_ID>/v2.0
Endpoint de Autorização https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize
Endpoint de token https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token
JAKS URI https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys

Okta

Para criar o aplicativo nativo Okta OIDC

  1. No Okta Admin Console, navegue até Aplicativos → Aplicativos → Criar integração de aplicativos.

  2. Selecione OIDC - OpenID Connect como método de login.

  3. Selecione Aplicativo nativo como o tipo de aplicativo e escolha Avançar.

  4. Configure as seguintes opções:

    Configuração Valor
    Nome da integração do aplicativo Amazon Quick Desktop
    Tipo de subsídio Código de autorização e token de atualização
    Redirecionamento de login URIs http://localhost:18080
    Atribuições Atribua aos usuários ou grupos apropriados

  5. Escolha Salvar.

  6. Na guia Geral, anote a ID do cliente.

O PKCE (S256) é aplicado automaticamente pelo Okta para aplicativos nativos.

Para configurar escopos

  1. Na integração do aplicativo, acesse a guia Escopos da API Okta.

  2. Conceda os seguintes escopos:openid,, emailprofile,offline_access.

nota

Se você estiver usando um servidor de autorização personalizado, verifique se esses escopos também estão habilitados em Segurança → API → Servidores de autorização → padrão → Escopos.

Para verificar as configurações de autenticação

  1. Na integração do aplicativo, acesse a guia Geral.

  2. Em Configurações gerais, confirme se o tipo de aplicativo é nativo, a autenticação do cliente é Nenhuma (cliente público) e se o PKCE é obrigatório.

  3. Em LOGIN, confirme se http://localhost:18080 está listado como um URI de redirecionamento.

  4. Escolha Salvar se você tiver feito alguma alteração.

Seus endpoints do OIDC usam o seguinte formato. <OKTA_DOMAIN>Substitua pelo seu domínio Okta (por exemplo,your-org.okta.com).

Campo Valor
URL do emissor https://<OKTA_DOMAIN>/oauth2/default
Endpoint de Autorização https://<OKTA_DOMAIN>/oauth2/default/v1/authorize
Endpoint de token https://<OKTA_DOMAIN>/oauth2/default/v1/token
JAKS URI https://<OKTA_DOMAIN>/oauth2/default/v1/keys

PingOne

Para criar o aplicativo nativo do PingOne OIDC

  1. No PingOne Admin Console, navegue até Aplicativos → Aplicativos → + (Adicionar aplicativo).

  2. Insira Amazon Quick Desktop como nome do aplicativo.

  3. Selecione OIDC Native App como o tipo de aplicativo e escolha Salvar.

  4. Na guia Configuração, escolha Editar e defina as seguintes configurações:

    Configuração Valor
    Tipo de resposta Código
    Tipos de subsídios Código de autorização e token de atualização
    Aplicação do PKCE S256
    Redirecionar URIs http://localhost:18080
    Método de autenticação de endpoint de token Nenhum

  5. Escolha Salvar.

  6. Na guia Recursos, adicione os seguintes escopos:openid,email,profile.

  7. Alterne o aplicativo para Ativado.

  8. Observe a ID do cliente e a ID do ambiente na guia Configuração.

Para verificar as configurações de autenticação

  1. No PingOne Admin Console, navegue até Aplicativos → Aplicativos e selecione o aplicativo Amazon Quick Desktop.

  2. Na guia Configuração, confirme se o Tipo de Resposta é Código, os Tipos de Concessão incluem Código de Autorização e Token de Atualização, a Aplicação de PKCE é S256 e o Método de Autenticação de Ponto Final de Token é Nenhum.

  3. Confirme se http://localhost:18080 está listado como um URI de redirecionamento.

  4. Confirme se o botão de alternância do aplicativo está definido como Ativado.

Seus endpoints do OIDC usam o seguinte formato. <ENV_ID>Substitua pelo ID PingOne do seu ambiente.

nota

O PingOne domínio varia de acordo com a região. Os exemplos abaixo usam.com. Substitua o domínio pelo do seu ambiente (por exemplo,.ca,.eu, ou.asia).

Campo Valor
URL do emissor https://auth.pingone.com/<ENV_ID>/as
Endpoint de Autorização https://auth.pingone.com/<ENV_ID>/as/authorize
Endpoint de token https://auth.pingone.com/<ENV_ID>/as/token
JAKS URI https://auth.pingone.com/<ENV_ID>/as/jwks

Google Workspace

Para criar o cliente Google OAuth 2.0 Desktop

  1. No Console do Google Cloud, navegue até APIs& Serviços → Credenciais → Criar credenciais → ID OAuth do cliente.

  2. Selecione Aplicativo de desktop como o tipo de aplicativo.

  3. Defina o nome comoAmazon Quick Desktop.

  4. Escolha Criar.

  5. Observe a ID do cliente na caixa de diálogo de confirmação.

nota

O Google emite um segredo de cliente para aplicativos de desktop, mas ele não é tratado como confidencial para aplicativos instalados. O aplicativo para desktop usa o fluxo de código de autorização com o PKCE — o segredo do cliente é opcional na troca de tokens.

Para configurar a tela de OAuth consentimento

  1. No Console do Google Cloud, navegue até APIs& Serviços → tela de OAuth consentimento.

  2. Selecione Interno como o tipo de usuário. Isso restringe a autenticação aos usuários da sua organização do Google Workspace.

  3. Configure as seguintes opções:

    Configuração Valor
    Nome do aplicativo Amazon Quick Desktop
    E-mail de suporte ao usuário Seu e-mail de administrador ou suporte
    Domínios autorizados O domínio da sua organização

  4. Em Escopos, adicione o seguinte:openid,email,profile.

  5. Escolha Salvar e continuar.

Para verificar as configurações de autenticação

  1. Navegue até APIs & Serviços → Credenciais.

  2. Selecione o OAuth cliente Amazon Quick Desktop.

  3. Confirme se o tipo de aplicativo é aplicativo de desktop e se a ID do cliente está presente.

  4. Em Redirecionamento autorizado URIs, confirme se http://localhost:18080 está listado. Se estiver faltando, adicione-o manualmente.

Os endpoints do OIDC são os mesmos para todos os locatários do Google Workspace:

Campo Valor
URL do emissor https://accounts.google.com
Endpoint de Autorização https://accounts.google.com/o/oauth2/v2/auth
Endpoint de token https://oauth2.googleapis.com/token
JAKS URI https://www.googleapis.com/oauth2/v3/certs
Documento de descoberta https://accounts.google.com/.well-known/openid-configuration

Etapa 2: criar um emissor de token confiável no IAM Identity Center

nota

Essa etapa só é necessária se sua conta Amazon Quick usar o AWS Identity and Access Management Identity Center para autenticação. Se sua conta usa a federação do IAM, pule essa etapa e vá para a Etapa 3.

O TTI diz ao IAM Identity Center que confie nos tokens do seu IdP e como mapeá-los para os usuários do IAM Identity Center. Você pode criar o TTI no console do AWS Identity and Access Management Identity Center ou com a AWS CLI.

Para criar o TTI com a AWS CLI, execute o comando a seguir. <IDC_INSTANCE_ARN>Substitua pelo Amazon Resource Name (ARN) da instância do IAM Identity Center e <ISSUER_URL> pelo URL do emissor da Etapa 1.

aws sso-admin create-trusted-token-issuer \
  --instance-arn <IDC_INSTANCE_ARN> \
  --name "AmazonQuickDesktop" \
  --trusted-token-issuer-type OIDC_JWT \
  --trusted-token-issuer-configuration '{
    "OidcJwtConfiguration": {
      "IssuerUrl": "<ISSUER_URL>",
      "ClaimAttributePath": "email",
      "IdentityStoreAttributePath": "emails.value",
      "JwksRetrievalOption": "OPEN_ID_DISCOVERY"
    }
  }'

Observe o TrustedTokenIssuerArn da saída. Você precisa dele na próxima etapa.

A tabela a seguir lista a URL do emissor para cada provedor de identidade.

Provedor de identidades URL do emissor
Microsoft Entra ID https://login.microsoftonline.com/<TENANT_ID>/v2.0
Okta https://<OKTA_DOMAIN>/oauth2/default
PingOne https://auth.pingone.com/<ENV_ID>/as
Google Workspace https://accounts.google.com

Etapa 3: Configurar o acesso à extensão no console de gerenciamento Amazon Quick

Para adicionar o acesso à extensão

  1. Faça login no console de gerenciamento Amazon Quick.

  2. Em Permissões, escolha Acesso à extensão.

  3. Escolha Adicionar acesso à extensão.

  4. (Opcional) Se sua conta usa o IAM Identity Center, a etapa de configuração do Trusted Token Issuer será exibida. Insira o seguinte:

    Campo Valor
    ARN do emissor de token confiável A TrustedTokenIssuerArn partir da Etapa 2
    Declaração de Aud O ID do cliente da etapa 1

    Essa etapa não aparece para contas que usam a federação do IAM.

  5. Selecione o aplicativo Desktop para a extensão Quick e escolha Avançar.

  6. Insira os detalhes da extensão Amazon Quick:

    Campo Valor
    Nome Um nome para esse acesso de extensão
    Description (Opcional) Uma descrição
    URL do emissor O URL do emissor do OIDC da Etapa 1
    Ponto final de autorização O URL do endpoint de autorização do OIDC da Etapa 1
    Ponto final do token O URL do endpoint do token OIDC da Etapa 1
    JAKS URI O URI do conjunto de chaves Web JSON da etapa 1
    ID de cliente O identificador do cliente OIDC da Etapa 1

  7. Escolha Adicionar.

Para criar a extensão

  1. No console do Amazon Quick, no painel de navegação à esquerda, em Connect apps and data, escolha Extensions.

  2. Escolha Adicionar extensão.

  3. Selecione o aplicativo Desktop para acesso rápido à extensão que você criou anteriormente. Escolha Próximo.

  4. Escolha Criar.

Etapa 4: Baixe e distribua o aplicativo de desktop

Depois de configurar o login corporativo, verifique a configuração baixando e instalando você mesmo o aplicativo de desktop. Escolha Login corporativo na tela de login e autentique-se com suas credenciais corporativas para confirmar se a configuração está funcionando. Para obter as etapas de download e instalação, consulteIntrodução.

Depois de verificar a configuração, direcione seus usuários Introdução para obter instruções de download, instalação e login.

Solução de problemas

Erro redirect_mismatch

Verifique se o URI de redirecionamento em seu IdP é http://localhost:18080 exato e está configurado como um cliente público ou plataforma nativa.

Usuário não encontrado após o login

O e-mail no token do IdP deve corresponder exatamente ao e-mail de um usuário no IAM Identity Center. Verifique se o usuário está provisionado e se os endereços de e-mail são idênticos nos dois sistemas.

Falha na validação do token

Verifique se o URL do emissor no TTI corresponde exatamente ao URL do emissor na configuração do OIDC do seu IdP.

Erros de consentimento ou permissão (Microsoft Entra ID)

Conceda o consentimento do administrador para as permissões de API necessárias no portal do Azure. Navegue até a página de permissões de API do registro do aplicativo e escolha Conceder consentimento do administrador para [sua organização].

A sessão expira com frequência

Verifique se seu IdP está configurado para emitir tokens de atualização. Para o Microsoft Entra ID, o offline_access escopo é obrigatório. Para Okta, o tipo de concessão do Refresh Token deve estar habilitado e o offline_access escopo deve ser concedido. Para isso PingOne, o tipo de concessão do Token de Atualização deve estar habilitado.

invalid_scopeerro (Okta)

Verifique offline_access se foi concedido na guia Escopos da API Okta. Se você estiver usando um servidor de autorização personalizado, verifique se o escopo está ativado em Segurança → API → Servidores de autorização → padrão → Escopos.

Aplicativo não ativado (PingOne)

Se a autenticação falhar imediatamente sem acessar a página de PingOne login, verifique se a opção do aplicativo está definida como Ativada no PingOne Admin Console.

access_deniederro (Google Workspace)

Isso normalmente significa que a tela de OAuth consentimento está definida como Interna e que o usuário não é membro da sua organização do Google Workspace. Verifique se a conta do Google do usuário pertence ao domínio da sua organização.