As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configurando o Amazon Quick no desktop para implantações corporativas
<a name="desktop-enterprise-setup"></a>


|  | 
| --- |
|    Aplica-se a: Enterprise Edition e Standard Edition  | 


|  | 
| --- |
|    Público-alvo: administradores de sistemas  | 

Para usar o Amazon Quick no desktop para implantações corporativas, os administradores devem configurar o login único corporativo (SSO) para que os usuários da organização possam fazer login com suas credenciais corporativas. Essa configuração conecta o provedor de identidade (IdP) compatível com o OpenID Connect (OIDC) da sua organização ao Amazon Quick.

**nota**  
Se você estiver usando uma conta gratuita ou Plus, esta seção não se aplica a você. Avance para [Introdução](getting-started-desktop.md).

A configuração envolve as seguintes etapas, na ordem:

1. Crie um aplicativo OIDC em seu IdP.

1. Crie um Trusted Token Issuer (TTI) no IAM Identity Center (necessário somente para contas que usam o IAM Identity Center para autenticação).

1. Configure o acesso à extensão no console de gerenciamento Amazon Quick.

1. Distribua o aplicativo de desktop para seus usuários.

Este guia fornece IdP-specific instruções para Microsoft Entra ID, Okta e Ping Identity (PingFederate e PingOne). Veja as instruções para seu provedor de identidade específico abaixo.

## Como funciona o login corporativo
<a name="desktop-enterprise-how-it-works"></a>

O aplicativo de desktop Amazon Quick usa o protocolo OIDC para autenticar usuários. Quando um usuário escolhe o **login Enterprise**, o aplicativo abre uma janela do navegador e redireciona para o endpoint de autorização do seu IdP. O aplicativo então troca o código de autorização resultante por tokens usando o Proof Key for Code Exchange (PKCE).

O Amazon Quick valida o token e mapeia o usuário para uma identidade em sua conta. Para contas que usam o IAM Identity Center, o TTI mapeia a `email` declaração no token OIDC para o `emails.value` atributo no repositório de identidades. Para contas que usam a federação do IAM, o Amazon Quick mapeia o usuário diretamente por e-mail. Em ambos os casos, o endereço de e-mail em seu IdP deve corresponder exatamente ao endereço de e-mail do usuário no Amazon Quick.

## Pré-requisitos
<a name="desktop-enterprise-prerequisites"></a>

Antes de começar, verifique se você tem o seguinte:
+ Uma AWS conta com uma assinatura ativa do Amazon Quick que usa o IAM Identity Center ou a federação do IAM para autenticação. A região de origem da conta Amazon Quick (região de identidade) deve ser Leste dos EUA (Norte da Virgínia) (us-east-1).
+ Acesso de administrador à sua conta Amazon Quick.
+ Acesso ao seu IdP com permissões para criar registros de aplicativos OIDC.

**Importante**  
A região de origem da conta Amazon Quick (região de identidade) deve ser Leste dos EUA (Norte da Virgínia) (us-east-1). Toda inferência para o aplicativo de desktop também usa essa região. Embora o Amazon Quick na web possa ser usado em outras regiões, o aplicativo de desktop se conecta ao us-east-1 para autenticação e inferência.

## Etapa 1: Crie um aplicativo OIDC em seu provedor de identidade
<a name="desktop-enterprise-step1"></a>

Registre um aplicativo cliente público do OIDC em seu IdP. O aplicativo de desktop Amazon Quick usa esse cliente para autenticar usuários por meio do fluxo de código de autorização com o PKCE. Nenhum segredo do cliente é necessário.

O aplicativo de desktop requer tokens de atualização para manter sessões de longa duração. A forma como os tokens de atualização são configurados depende do seu IdP:
+ **Microsoft Entra ID** — O `offline_access` escopo deve ser concedido. Sem isso, os usuários devem se autenticar novamente com frequência.
+ **Okta** — O tipo de concessão do Refresh Token deve estar ativado no aplicativo e o `offline_access` escopo deve ser concedido.
+ **Identidade de ping** — O tipo de concessão do token de atualização deve estar ativado e o `offline_access` escopo deve ser concedido. Pois PingFederate, a configuração **Return ID Token On Refresh Grant** também deve estar habilitada na política do OIDC.

Escolha as instruções para seu provedor de identidade.

### Microsoft Entra ID
<a name="desktop-enterprise-entra-id"></a>

Para obter instruções detalhadas, consulte [Registrar um aplicativo](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app) na documentação do Microsoft Entra.

**Para criar o registro do aplicativo Entra ID**

1. No portal do Azure, navegue até **Microsoft Entra ID → Registros de aplicativos → Novo registro**.

1. Configure as seguintes opções:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/desktop-enterprise-setup.html)

1. Escolha **Registrar**.

1. Na página **Visão geral**, anote o ID do **aplicativo (cliente) e o ID** **do diretório (locatário)**. Você precisará desses valores em etapas posteriores.

Este é um registro público de cliente. O PKCE é aplicado automaticamente pelo Entra ID para clientes públicos.

**Para configurar as permissões da API**

1. No registro do aplicativo, navegue até **Permissões da API → Adicionar uma permissão → Microsoft Graph → Permissões delegadas**.

1. Adicione as seguintes permissões:`openid`,`email`,`profile`,`offline_access`.

1. Escolha **Adicionar permissões**.

1. Se sua organização exigir, escolha **Conceder consentimento do administrador para [sua organização]**.

**Para definir as configurações de autenticação**

1. No registro do aplicativo, navegue até **Autenticação**.

1. Em **Configurações avançadas**, defina **Permitir fluxos de clientes públicos** como **Sim**.

1. Verifique se `http://localhost:18080` está listado em **Aplicativos móveis e de desktop**.

1. Escolha **Salvar**.

Seus endpoints do OIDC usam o seguinte formato. `<TENANT_ID>`Substitua pelo ID do seu diretório (inquilino).


| Campo | Valor | 
| --- | --- | 
| URL do emissor | https://login.microsoftonline.com/<TENANT\_ID>/v2.0 | 
| Endpoint de Autorização | https://login.microsoftonline.com/<TENANT\_ID>/oauth2/v2.0/authorize | 
| Endpoint de token | https://login.microsoftonline.com/<TENANT\_ID>/oauth2/v2.0/token | 
| JAKS URI | https://login.microsoftonline.com/<TENANT\_ID>/discovery/v2.0/keys | 

### Okta
<a name="desktop-enterprise-okta"></a>

Para obter instruções detalhadas, consulte [Criar integrações do aplicativo OpenID Connect](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_oidc.htm) na documentação do Okta.

**Para criar o aplicativo nativo Okta OIDC**

1. No Okta Admin Console, navegue até **Aplicativos → Aplicativos → Criar integração de aplicativos**.

1. Selecione **OIDC - OpenID Connect** como método de login.

1. Selecione **Aplicativo nativo** como o tipo de aplicativo e escolha **Avançar**.

1. Configure as seguintes opções:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/desktop-enterprise-setup.html)

1. Escolha **Salvar**.

1. Na guia **Geral**, anote a **ID do cliente**.

O PKCE (S256) é aplicado automaticamente pelo Okta para aplicativos nativos.

**Para configurar escopos**

1. No Okta Admin Console, navegue até **Segurança → API → Servidores de Autorização** e selecione seu servidor de autorização (por exemplo, **padrão**).

1. Na guia **Escopos**, verifique se os seguintes escopos estão habilitados:`openid`,,`email`,`profile`. `offline_access`

1. Na guia **Políticas de acesso**, verifique se a política atribuída a esse aplicativo permite os tipos de `Refresh Token` concessão `Authorization Code` e.

**Para verificar as configurações de autenticação**

1. Na integração do aplicativo, acesse a guia **Geral**.

1. **Em Configurações gerais**, confirme se o tipo de aplicativo é **nativo**, a autenticação do cliente é **Nenhuma** (cliente público) e se o PKCE é **obrigatório**.

1. Em **LOGIN**, confirme se `http://localhost:18080` está listado como um URI de redirecionamento.

1. Escolha **Salvar** se você tiver feito alguma alteração.

Seus endpoints do OIDC usam o seguinte formato. `<OKTA_DOMAIN>`Substitua pelo seu domínio Okta (por exemplo,`your-org.okta.com`).


| Campo | Valor | 
| --- | --- | 
| URL do emissor | https://<OKTA\_DOMAIN>/oauth2/default | 
| Endpoint de Autorização | https://<OKTA\_DOMAIN>/oauth2/default/v1/authorize | 
| Endpoint de token | https://<OKTA\_DOMAIN>/oauth2/default/v1/token | 
| JAKS URI | https://<OKTA\_DOMAIN>/oauth2/default/v1/keys | 

### Ping Identity
<a name="desktop-enterprise-ping-identity"></a>

Escolha as instruções para o seu produto Ping Identity.

#### PingFederate
<a name="desktop-enterprise-pingfederate"></a>

Para obter instruções detalhadas, consulte [Configurando um aplicativo OIDC PingFederate na documentação](https://docs.pingidentity.com/solution-guides/customer_use_cases/htg_oidc_app_setup_pf.html) do Ping Identity.

**Para criar o cliente PingFederate OIDC**

1. No console PingFederate administrativo, vá para **Aplicativos → OAuth → Clientes** e escolha **Adicionar** cliente.

1. No campo **ID do cliente**, insira um identificador exclusivo para esse cliente.

1. No campo **Name** (Nome), insira `Amazon Quick Desktop`.

1. Em **Autenticação do cliente**, selecione **Nenhuma**.

1. Na seção **URI de redirecionamento**, insira `http://localhost:18080` e escolha **Adicionar**.

1. Na lista **Tipos de concessão permitidos**, selecione **Código de autorização** e **Token de atualização**.

1. Marque a caixa de seleção **Exigir chave de prova para troca de código (PKCE)**.

1. Em **Escopos comuns**, conceda o seguinte:`openid`,, `email``profile`,`offline_access`.

1. Escolha **Salvar**.

1. Anote a **ID do cliente**. Você precisará desse valor em etapas posteriores.

**Para configurar a política do OIDC**

1. No console PingFederate administrativo, vá para **Aplicativos → OAuth → Gerenciamento de políticas do OpenID Connect**.

1. Selecione a política do OIDC associada a esse cliente ou escolha **Adicionar política** para criar uma.

1. Marque a caixa de seleção **Return ID Token On Refresh Grant**. Isso garante que o aplicativo de desktop receba um novo token de ID com as declarações atuais ao atualizar a sessão.

1. Em **Contrato de atributo**, verifique se a `email` declaração está incluída e mapeada para o atributo de usuário correspondente na sua fonte de autenticação. A `email` reivindicação deve estar presente nos tokens emitidos durante a autenticação inicial e a concessão do token de atualização.

1. Escolha **Salvar**.

Seus endpoints do OIDC usam o seguinte formato. `<PINGFEDERATE_HOST>`Substitua pelo nome PingFederate do host do seu servidor.


| Campo | Valor | 
| --- | --- | 
| URL do emissor | https://<PINGFEDERATE\_HOST> | 
| Endpoint de Autorização | https://<PINGFEDERATE\_HOST>/as/authorization.oauth2 | 
| Endpoint de token | https://<PINGFEDERATE\_HOST>/as/token.oauth2 | 
| JAKS URI | https://<PINGFEDERATE\_HOST>/pf/JWKS | 

#### PingOne
<a name="desktop-enterprise-pingone"></a>

Para obter instruções detalhadas, consulte [Editando um aplicativo — Nativo](https://docs.pingidentity.com/pingone/applications/p1_edit_application_native.html) na documentação do Ping Identity.

**Para criar o aplicativo nativo do PingOne OIDC**

1. No console de PingOne administração, vá para **Aplicativos → Aplicativos** e escolha o ícone **\+**.

1. Insira `Amazon Quick Desktop` como nome do aplicativo.

1. Na seção **Tipo de aplicativo**, selecione **Nativo** e escolha **Salvar**.

1. Na guia **Configuração**, escolha **Editar** e defina as seguintes configurações:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/desktop-enterprise-setup.html)

1. Escolha **Salvar**.

1. Na guia **Recursos**, adicione os seguintes escopos:`openid`,, `email``profile`,`offline_access`.

1. Na guia **Mapeamentos de atributos**, verifique se o `email` atributo está mapeado para o endereço de e-mail do usuário.

1. **Alterne o aplicativo para Ativado.**

1. Observe a **ID do cliente** e a **ID do ambiente** na guia **Configuração**.

**nota**  
O PingOne domínio varia de acordo com a região. Os exemplos abaixo usam`.com`. Substitua o domínio pelo do seu ambiente (por exemplo`.ca`,`.eu`, ou`.asia`).

Seus endpoints do OIDC usam o seguinte formato. `<ENV_ID>`Substitua pelo ID PingOne do seu ambiente.


| Campo | Valor | 
| --- | --- | 
| URL do emissor | https://auth.pingone.com/<ENV\_ID>/as | 
| Endpoint de Autorização | https://auth.pingone.com/<ENV\_ID>/as/authorize | 
| Endpoint de token | https://auth.pingone.com/<ENV\_ID>/as/token | 
| JAKS URI | https://auth.pingone.com/<ENV\_ID>/as/jwks | 

## Etapa 2: criar um emissor de token confiável no IAM Identity Center
<a name="desktop-enterprise-step2"></a>

**nota**  
Essa etapa só é necessária se sua conta Amazon Quick usar o AWS Identity and Access Management Identity Center para autenticação. Se sua conta usa a federação do IAM, pule essa etapa e vá para a Etapa 3.

O TTI diz ao IAM Identity Center que confie nos tokens do seu IdP e como mapeá-los para os usuários do IAM Identity Center. Você pode criar o TTI no console do AWS Identity and Access Management Identity Center ou com a AWS CLI.

Para obter mais informações, consulte [Configurando um emissor de token confiável](https://docs.aws.amazon.com/singlesignon/latest/userguide/setuptrustedtokenissuer.html) no *Guia do usuário do AWS Identity and Access Management Identity Center*.

**Para criar o TTI no console do IAM Identity Center**

1. Abra o [console do AWS Identity and Access Management Identity Center](https://console.aws.amazon.com/singlesignon).

1. Escolha **Configurações**.

1. Na página **Configurações**, escolha a guia **Autenticação**.

1. Em **Emissores de token confiáveis**, escolha **Criar emissor de tokens confiáveis**.

1. Na página **Configurar um IdP externo para emitir tokens confiáveis**, em **Detalhes do emissor de token confiável**, configure o seguinte:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/desktop-enterprise-setup.html)

1. Em **Atributos do mapa**, configure o mapeamento de atributos que o IAM Identity Center usa para pesquisar usuários:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/desktop-enterprise-setup.html)
**Importante**  
O atributo do provedor de identidade deve corresponder a uma afirmação que seu IdP inclui no token, e o atributo do IAM Identity Center deve identificar exclusivamente o usuário em seu repositório de identidades. O mapeamento mais comum é `email` →`emails.value`, mas sua organização pode usar um atributo diferente, como `sub` uma declaração personalizada. O valor na declaração de token deve corresponder exatamente ao valor do atributo correspondente no IAM Identity Center.

1. Escolha **Criar emissor de tokens confiáveis.**

1. Observe o **ARN do emissor de token confiável**. Você precisa dele na próxima etapa.

Como alternativa, para criar o TTI com a AWS CLI, execute o comando a seguir. `<IDC_INSTANCE_ARN>`Substitua pelo Amazon Resource Name (ARN) da instância do IAM Identity Center e `<ISSUER_URL>` pelo URL do emissor da Etapa 1.

```
aws sso-admin create-trusted-token-issuer \
  --instance-arn <IDC_INSTANCE_ARN> \
  --name "AmazonQuickDesktop" \
  --trusted-token-issuer-type OIDC_JWT \
  --trusted-token-issuer-configuration '{
    "OidcJwtConfiguration": {
      "IssuerUrl": "<ISSUER_URL>",
      "ClaimAttributePath": "email",
      "IdentityStoreAttributePath": "emails.value",
      "JwksRetrievalOption": "OPEN_ID_DISCOVERY"
    }
  }'
```

Observe o `TrustedTokenIssuerArn` da saída. Você precisa dele na próxima etapa.

A tabela a seguir lista a URL do emissor para cada provedor de identidade.


| Provedor de identidades | URL do emissor | 
| --- | --- | 
| Microsoft Entra ID | https://login.microsoftonline.com/<TENANT\_ID>/v2.0 | 
| Okta | https://<OKTA\_DOMAIN>/oauth2/default | 
| PingFederate | https://<PINGFEDERATE\_HOST> | 
| PingOne | https://auth.pingone.com/<ENV\_ID>/as | 

## Etapa 3: Configurar o acesso à extensão no console de gerenciamento Amazon Quick
<a name="desktop-enterprise-step3"></a>

**Para adicionar a extensão, acesse**

1. Faça login no console de gerenciamento Amazon Quick.

1. Em **Permissões**, escolha **Acesso à extensão**.

1. Escolha **Adicionar acesso à extensão**.

1. (Opcional) Se sua conta usa o IAM Identity Center, a etapa de **configuração do Trusted Token Issuer** será exibida. Insira o seguinte:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/desktop-enterprise-setup.html)

   Essa etapa não aparece para contas que usam a federação do IAM.

1. Selecione o **aplicativo Desktop para a extensão Quick** e escolha **Avançar**.

1. Insira os detalhes da extensão Amazon Quick:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/desktop-enterprise-setup.html)

1. Escolha **Adicionar**.
**Importante**  
Verifique se todos os valores estão corretos antes de escolher **Adicionar**. A configuração de acesso à extensão não pode ser editada após a criação. Se algum valor estiver incorreto, você deverá excluir o acesso à extensão e criar um novo.

**Para criar a extensão**

1. No console do Amazon Quick, no painel de navegação à esquerda, em **Connect apps and data**, escolha **Extensions**.

1. Escolha **Adicionar extensão**.

1. Selecione o **aplicativo Desktop para acesso rápido** à extensão que você criou anteriormente. Escolha **Próximo**.

1. Escolha **Criar**.

## Etapa 4: Baixe e distribua o aplicativo de desktop
<a name="desktop-enterprise-step4"></a>

Depois de configurar o login corporativo, verifique a configuração baixando e instalando você mesmo o aplicativo de desktop. Escolha **Login corporativo na tela de login** e autentique-se com suas credenciais corporativas para confirmar se a configuração está funcionando. Para obter as etapas de download e instalação, consulte[Introdução](getting-started-desktop.md).

Se o login falhar, verifique os valores inseridos na Etapa 3 em relação aos endpoints do OIDC da Etapa 1. Se algum valor estiver incorreto, exclua o acesso à extensão em **Permissões → Acesso à extensão** e repita a Etapa 3 com os valores corretos.

Depois de verificar a configuração, direcione seus usuários [Introdução](getting-started-desktop.md) para obter instruções de download, instalação e login.

## Solução de problemas
<a name="desktop-enterprise-troubleshooting"></a>

Erro `redirect_mismatch`  
Verifique se o URI de redirecionamento em seu IdP é `http://localhost:18080` exato e está configurado como um cliente público ou plataforma nativa.

Usuário não encontrado após o login  
O e-mail no token do IdP deve corresponder exatamente ao e-mail de um usuário no IAM Identity Center. Verifique se o usuário está provisionado e se os endereços de e-mail são idênticos nos dois sistemas.

Falha na validação do token  
Verifique se o URL do emissor no TTI corresponde exatamente ao URL do emissor na configuração do OIDC do seu IdP.

Erros de consentimento ou permissão (Microsoft Entra ID)  
Conceda o consentimento do administrador para as permissões de API necessárias no portal do Azure. Navegue até a página de **permissões de API** do registro do aplicativo e escolha **Conceder consentimento do administrador para [sua organização]**.

A sessão expira com frequência  
Verifique se seu IdP está configurado para emitir tokens de atualização. Para o Microsoft Entra ID, o `offline_access` escopo é obrigatório. Para Okta, o tipo de concessão do Refresh Token deve estar habilitado e o `offline_access` escopo deve ser concedido. Para o Ping Identity, o tipo de concessão do Refresh Token deve estar ativado e o `offline_access` escopo deve ser concedido. Para PingFederate, verifique também se **Return ID Token On Refresh Grant** está selecionado na política do OIDC.

`invalid_scope`erro (Okta)  
Verifique se `offline_access` está habilitado no seu servidor de autorização. Navegue até **Segurança → API → Servidores de autorização → padrão → Escopos** e confirme se o escopo está presente. Verifique também se a política de acesso do aplicativo permite o tipo de concessão do Token de Atualização.

Aplicativo não habilitado (PingOne)  
Se a autenticação falhar imediatamente sem PingOne acessar a página de login, verifique se a opção do aplicativo está definida como **Ativado** no console do PingOne administrador.

Declaração de e-mail ausente após a atualização () PingFederate  
Verifique se a `email` reivindicação está incluída no **contrato de atributos da política do OIDC e mapeada para o atributo** correto do usuário. O mapeamento deve produzir a `email` declaração tanto para a autenticação inicial quanto para as concessões de token de atualização.