Amazon QuickデスクトップアプリにMicrosoft Entra IDからSSOログインしてみた

こんにちは、こーへいです。

先日 Amazon Quick の macOS / Windows 向けデスクトップアプリケーションがプレビューで登場しました。

[プレビュー] Amazon Quick のデスクトップアプリケーションが macOS と Windows 向けに登場したので使ってみた | DevelopersIO

Quickをエンタープライズエディション(詳細はAmazon Quick のさまざまなエディションに記載、大体AWSから有効化したQuickと思っていただければ大丈夫です)で利用している場合、同じQuickユーザーでログインすることが可能です。

これにより以前書いた妄想が叶います。つまりローカルからAWS上のデータまで、広い範囲でのデータへアクセスしつつ日常業務をAIツールで効率化できるようになります。

デスクトップアプリの登場から考えるAmazon Quickが目指す世界に夢を膨らませてみた | DevelopersIO

以前、Web 版の Amazon Quick に対して Microsoft Entra ID から SAML SSO する手順を書きました。

Microsoft Entra ID から Amazon Quick に SAML SSO ログインする手順 | DevelopersIO

今回は上記で作成したユーザーにて、デスクトップ版へのログインを試してみます。

公式ドキュメントはこちらです。

本記事では IdP に Microsoft Entra ID を使い、OIDC アプリの作成から Amazon Quick 管理コンソールでの設定、デスクトップアプリからのログイン確認までをやってみます。

今回の構成

今回は以下の構成で進めます。

やってみた

前提条件

以下を満たしている前提で進めます。

• 有効な Amazon Quick サブスクリプションを持つ AWS アカウントがあること
  • Amazon Quick アカウントのホームリージョンがバージニア北部であること。(※注意書きあり) デスクトップアプリは認証・推論ともに us-east-1 に接続します
  • ID の種類は IAM Identity Center / IAM フェデレーション / Amazon Quick ネイティブ（ユーザー名・パスワード）のいずれも利用可能
• Amazon Quick アカウントへの管理者アクセスがあること
• Entra ID で OIDC アプリの登録を作成できる権限があること
• IdP の E メールアドレスとAmazon Quick のユーザーの E メールアドレスが一致していること
  • Amazon Quick はトークンを検証し、ユーザーをアカウントの ID にマッピングするため

設定の大きな流れは次の3ステップです。

1. Entra ID で OIDC アプリを登録する
2. Amazon Quick 管理コンソールで拡張機能アクセスを設定する
3. デスクトップアプリでログインを確認する

順番に見ていきます。

Step1: Entra ID で OIDC アプリを登録する

まずはEntra IDに、デスクトップアプリが認証に使う公開 OIDC クライアントを登録します。

アプリの登録

Azure ポータルで Microsoft Entra ID → アプリの登録→ 新規登録 へ進み、アプリを登録します。

登録後、概要 ページに表示される以下の2つの値を控えておきます。後のステップで使用します。

API のアクセス許可を設定する

アプリの登録画面で API のアクセス許可→ アクセス許可の追加→ Microsoft Graph → 委任されたアクセス許可 を開きます。

以下の4つのアクセス許可を追加します。

• openid
• email
• profile
• offline_access

offline_access はリフレッシュトークンを取得するために必須です。これが無いとセッションが頻繁に切れ、ユーザーが何度も再認証を求められてしまいます。

組織のポリシーで必要な場合は、管理者の同意を与える をクリックして同意を付与しておきます。

認証を設定する

続いて 認証 を開き、以下を設定します。

• 詳細設定 の パブリッククライアントフローを許可する を はい にする
• モバイルとデスクトップアプリケーション のリダイレクト URI に http://localhost:18080 が登録されていることを確認する

設定したら 保存 をクリックします。

OIDC エンドポイントを確認する

Entra ID の OIDC エンドポイントは以下のフォーマットになります。<TENANT_ID> を先ほど控えたディレクトリ（テナント）ID に置き換えます。これらは Step2 で Amazon Quick 側に入力するため控えておきます。

再掲

これで IdP 側の準備は完了です。

Step2: Amazon Quick 管理コンソールで拡張機能アクセスを設定する

次に Amazon Quick 側で、Step1 で作成した Entra ID のアプリと連携するための設定を行います。設定は「拡張機能アクセスの追加」と「拡張機能の作成」の2段階です。

拡張機能アクセスを追加する

Amazon Quick 管理コンソールにサインインし、以下の手順で進めます。

1. アクセス許可 から 拡張機能へのアクセス を選択する
2. 拡張機能アクセスを追加 を選択する
3. Amazon Quick を選択して 次へ を選択する
4. Step1 で控えた Client ID や Issuer URL などの値を入力する
5. 追加 を選択する

拡張機能を作成する

拡張機能アクセスを追加したら、それを使う拡張機能を作成します。

1. Amazon Quick コンソールの左ナビゲーションから 拡張機能 を選択する
2. 拡張機能を作成 を選択する
3. 先ほど作成した QuickDesktop-access の拡張機能アクセスを選択して 次へ を選択する
4. 追加 を選択する

これで Amazon Quick 側の設定は完了です。

Step3: デスクトップアプリでログインを確認する

最後に、設定が正しく機能しているかをデスクトップアプリで確認します。

デスクトップアプリのダウンロードとインストール手順は、こちらを参照してください。

インストール後、サインイン画面で DynamicとContinue with SSO を選択します。ブラウザが開いて Entra ID の認証画面が表示されるので、社内の資格情報でサインインします。

無事に Amazon Quick にサインインできれば、エンタープライズ SSO の設定は成功です。

Webで用意していたスペースもデスクトップからアクセスできるようになっています。

まとめ

設定フローの全体像を改めて整理すると、以下の通りです。

本機能はまだプレビュー段階のため、早くGAになることを期待しつつ、続報があればまたブログにします。それでは。