Okta Classic Engineリリースノート(早期アクセス)
早期アクセス機能
自動ローテーションによるOrg2OrgのOAuth 2.0プロビジョニング
複数orgアーキテクチャ(Oktaハブアンドスポークorgなど)をデプロイする管理者は、ユーザーとグループのプロビジョニングを保護する必要があります。OAuth 2.0スコープのトークンを使用したプロビジョニングには、より詳細なアクセス権限の設定、トークンの短い有効期間、キーの自動ローテーションなど、APIトークンに比べていくつかの利点があります。Admin Consoleから直接、Org2OrgアプリのプロビジョニングにOAuth 2.0の自動ローテーションを有効化できるようになりました。
「Okta Org2OrgをOktaと統合する」を参照してください。
Okta Privileged AccessでActive Directoryアカウントを管理する
この機能により、Okta AD Agentを使用してOkta Privileged Accessを通じてActive Directory(AD)アカウントパスワードを管理できます。管理者は、特定の組織単位(OU)内のアカウントに検出ルールを設定し、ユーザーアクセスのポリシーを作成して、チェックイン時またはスケジュールに従ってパスワードがローテーションされるようにできます。アクセス権を持つユーザーは、割り当てられたアカウントを表示し、パスワードを取得できます。この機能を有効にする場合は、Oktaサポートにお問い合わせください。「Active Directoryアカウントを管理する」を参照してください。
デフォルトの除外IPゾーンによるASNバインディングの迂回
ASNバインディング機能は、管理者と管理者のサインイン元のIPアドレスを関連付けます。セッション中にIPが変更された場合、管理者はOktaからサインアウトされ、システムログにイベントが表示されます。IPとASNのバインディンをバイパスするには、クライアントIPをデフォルトの除外IPゾーンに追加できます。「IP除外ゾーン」を参照してください。
Oktaファーストパーティアプリのアプリスイッチャー
End-User Dashboard、Admin Console、Workflowsコンソールにアプリスイッチャーが追加され、管理者は割り当てられたOktaアプリ間をすばやく移動できるようになりました。アプリスイッチャーを表示するには、[Unified look and feel for Okta Admin Console(Okta Admin Consoleの統一された外観と操作性)]と[Unified look and feel for Okta Dashboard(Okta Dashboardの統一された外観と操作性)]の早期アクセス機能を有効にする必要があります。
End-User Dashboardの新しい外観と操作性
End-User Dashboardでは、サイドとトップのナビゲーションメニューの再設計やグレー背景の追加など、新しい外観と操作性を提供するようになりました。
新しいシステムログイベント
policy.evaluate_sign_onイベントに、新しいDebugData項目:IdpVerifiedFactorModeが追加されました。この新しい項目は、ユーザーがサービスプロバイダーを通じてサインインしたときに、IDプロバイダーで 1つまたは2つの要素を使用して認証したかどうかを示します。「システムログ」を参照してください。
システムログイベントの機能強化
policy.evaluate_sign_onイベントに、IdpVerifiedFactorMode項目が追加されました。これは、orgでクレーム共有が有効化されている場合に表示され、IDプロバイダーがユーザーの認証要素を検証したかどうかを示します。「システムログ」を参照してください。
Admin Consoleの新しい外観と操作性
Admin Consoleでは、サイドとトップのナビゲーションメニューの再設計やグレー背景の追加など、新しい外観と操作性を提供するようになりました。
SAP Netweaver ABAP用On-prem Connector
SAP NetWeaver ABAP用On-prem Connectorは、すぐに使用できるソリューションを提供し、SAPオンプレミスアプリをOkta Identity Governanceに接続します。これにより、Oktaで直接SAPエンタイトルメント(ロール)を検出、可視化、管理できます。この統合により、カスタム統合の必要性がなくなり、エンタイトルメント管理が合理化されることで、セキュリティの強化、時間の節約、ガバナンスの簡素化が実現します。
Universal Syncの新しい属性
Universal Syncでは、次の属性がサポートされるようになりました:AuthOrig、DLMemRejectPerms、DLMemSubmitPerms、UnauthOrig。
同期可能なパスキーをブロックする
認証中に同期可能なパスキーをブロックできるようになりました。以前は、登録中にのみブロックできました。これにより、ユーザーが同期可能なパスキーを提示して管理対象外の新しいデバイスを登録しようとすることを防ぎ、orgのセキュリティが強化されます。
アプリユーザーを非アクティブ化するためのセルフサービストグル
管理者はセルフサービストグルを使用して、Oktaユーザーの非アクティブ化時に個々のアプリ割り当てがどうなるのかを変更できるようになりました。有効にすると、ユーザーの個々のアプリの割り当てが一時停止ではなく非アクティブ化されます。ユーザーがOktaで再度アクティブ化されても、個々のアプリ割り当ては再アクティブ化されません。
切断されたアプリのエンタイトルメント対応
切断されたアプリとは、Okta内でLCM統合されていないアプリです。この機能を使用すると、CSVファイルを使用して、切断されたアプリからユーザーとエンタイトルメントをOktaにインポートできます。これにより、Oktaと完全に統合されていないアプリも含め、すべてのアプリで一貫したガバナンスとコンプライアンスが実現します。
インポートされたユーザーの再照合を強制する
この機能は完全インポートや増分インポートにかかわらず、プロファイルソースからインポートされた未確認ユーザーの再照合を強制します。インポートされたユーザーを既存のOktaユーザーと照合しようとします。この機能を有効にすると、すべてのインポートで未確認のユーザーの一致が再評価されます。
ユーザーのシステムログイベントのインポート中にエンタイトルメント同期をスキップする新機能
次のシステムログイベントが追加されました:ユーザーインポート中のエンタイトルメント同期のスキップ
Okta間のクレーム共有の強化
Okta間のクレーム共有では、シングルサインオン用のスマートカードAuthenticatorとActive Directoryの使用がサポートされるようになりました。これにより、ユーザーがすでにOkta orgに認証されている場合、サービスプロバイダーで認証する必要がなくなります。
SAP Netweaver ABAP用On-prem Connectorでサポートされる属性の追加
Okta On-prem Connectorでは、サポートされるユーザー属性が追加されて、OktaとSAP Netweaver ABAPとの統合が向上しました。
外部パートナー向けのSecure Partner Access
Secure Partner Accessは、外部のビジネスパートナーがorgのリソースに安全にアクセスできるようにします。パートナー管理タスクの効率化やITの作業負荷を軽減する他にも、orgのセキュリティ要件を構成するプロセスが簡素化されます。「Secure Partner Access」を参照してください。
Okta org間での認証クレームの共有
管理者は、認証クレームの共有により、SSO中にIdPからのクレームを信頼するようにOkta orgを構成できます。クレームを共有すると、OktaはIdPからの認証コンテキストを解釈することもできます。これにより、ユーザー認証時の重複した要素チャレンジが排除され、セキュリティ体制が向上します。「SAML IDプロバイダーを追加する」を参照してください。
Identity Governance管理者アプリのアクセスにMFAを必須にする
orgがOkta Identity Governanceを使用している場合は、ファーストパーティアプリであるOkta Access Certifications、Okta Entitlement Management、Okta Access Requests Adminにアクセスする管理者に対してMFAを必須にできます。org内でEA機能を自動的に有効にした場合は、それらのアプリに対してMFAが自動的に強制されます。「Admin ConsoleのMFAを有効にする」を参照してください。
APIエンドポイントを呼び出すためのOAuth 2.0セキュリティ
Okta WorkflowsユーザーはOAuth 2.0プロトコルとOkta Orgの認可サーバーを使用して、APIエンドポイントを安全に呼び出すことができるようになりました。この早期アクセス機能は、既存のトークン認可オプションよりも安全な上に実装も簡単です。新規または既存のアプリ統合にokta.workflows.invoke.manageスコープを追加して、APIエンドポイントを呼び出せるようにします。
SCIM 2.0対応のOkta Provisioning Agentによるエンタイトルメント管理
このエージェントは、Governance Engineが有効化されたアプリ統合のエンタイトルメント管理をサポートします。これは、Oktaとオンプレミスアプリ間でエンタイトルメントをプロビジョニングできるようにします。
検証ページをスキップしてIdP Authenticatorにリダイレクト
この機能はユーザーがSign-In Widgetで確認手順をスキップできるようにします。その代わりに、ユーザーが検証のためにIdP Authenticatorにリダイレクトされます。この機能を有効にすると、Sign-In Widgetの検証をスキップするオプションがエンドユーザーに表示されます。orgがユーザーの前回のAuthenticatorを記憶するように構成されている場合は、今後のサインイン試行でユーザーがIdP Authenticatorに自動的にリダイレクトされます。
Admin Consoleへのアクセスを制限
管理者ロールが割り当てられたユーザーとグループは、デフォルトでAdmin Consoleアプリにアクセスできます。この機能を使用すると、スーパー管理者は代理管理者にアプリを手動で割り当てることを選択できます。これは、ビジネスパートナーなどアクセスの必要がない管理者やサードパーティの管理者、またはOkta APIのみを使用する管理者を有するorgに推奨されます。「管理者設定を構成する」を参照してください。
Workspace ONEのDevice Trust orgをClassic EngineからIdentity Engineに移行可能
管理者が既存のWorkspace ONEのDevice Trust構成をIdentity Engineに移行できるようになりました。この機能は、Workspace ONEのDevice Trust機能で統合されている既存の管理者構成とエンドユーザー認証フローの両方を移行可能にすることで、Classic Engineテナントの移行が阻止されないようにします。ws1の移行を参照してください。
管理者向けのサポートケース管理
スーパー管理者は、Oktaサポートケースの表示・作成・管理の権限とサポートケースリソースをカスタム管理者ロールに割り当てることができるようになりました。これは、代理管理者が開いたサポートケースを代理管理者が管理できるようにします。
Hyperspaceエージェントの新規バージョン
このバージョンには、.NET Frameworkのバージョン4.8へのアップグレードとバグ修正が含まれます。
管理リソースのIdP選択
この機能は、顧客が管理者ロールに関連付けるIDプロバイダー(IdP)を選択して管理できるようにします。これにより、ロールにきめ細かな権限が付与され、セキュリティが強化されます。「リソースセットを作成する」を参照してください。
Google Workspaceのワンクリックフェデレーション
管理者がシンプルな統合エクスペリエンスでSSOをGoogle Workspaceにセットアップできるため、時間の節約とエラーリスクの低減につながります。
Admin ConsoleのIPバインディング
ページに、Admin Console設定用の新しいIPバインディングが追加されました。この設定を有効にすると、org内のすべての管理者セッションがサインイン元のシステムIPアドレスに関連付けられます。セッション中にIPが変わると、管理者はOktaからサインアウトされ、システムログにイベントが表示されます。「一般的なセキュリティ」を参照してください。