Okta Classic Engineリリースノート(プレビュー)
バージョン:2025.07.0
2025年7月
一般提供
自動ローテーションによるOrg2OrgのOAuth 2.0プロビジョニング
複数orgアーキテクチャ(Oktaハブアンドスポークorgなど)をデプロイする管理者は、ユーザーとグループのプロビジョニングを保護する必要があります。OAuth 2.0スコープのトークンを使用したプロビジョニングには、より詳細なアクセス権限の設定、トークンの短い有効期間、キーの自動ローテーションなど、APIトークンに比べていくつかの利点があります。Admin Consoleから直接、Org2OrgアプリのプロビジョニングにOAuth 2.0の自動ローテーションを有効化できるようになりました。
「Okta Org2OrgをOktaと統合する」を参照してください。
Okta LDAPエージェント、バージョン5.24.0
このバージョンのエージェントには以下が含まれています。
- 構成ファイルが暗号化されるようになりました。
- ローカルLDAPエージェント構成ファイルの予期せぬ変更を監視します。
- インストールの問題のデバッグを支援するために
install.log
が作成されました。 - セキュリティの強化
Google Workspaceの改善
Google Workspaceアプリ統合のパフォーマンスを向上させるために、次の変更が加えられました。
- グループ関連のエラー処理を強化
- グループのインポートが無効な場合、インポート時に重複するグループ作成の削除
ライセンスグループUIの改善
ユーザーとグループの割り当てタブで、[プライマリライセンス]の下にMicrosoft O365ライセンスがグループ化されるようになりました。ライセンスは折りたたみドロップダウンメニューとして表示され、プライマリライセンス名のみが表示されます。ドロップダウンメニューを展開すると、その下にあるすべてのサブライセンスが表示されます。
プロファイル同期プロビジョニングの新しいカスタム属性
プロファイル同期プロビジョニングで、Office 365のカスタム属性がいくつかサポートされるようになりました。「Office 365のプロビジョニングに対応しているユーザープロファイル属性」を参照してください。
OINウィザードのユーザープロファイル属性に関する新しい検証ルール
OINウィザードでは、EL式で属性値を参照するときに、有効なユーザープロファイルプロパティーを使用する必要があります。システムは、許可リストに含まれていない無効なユーザーEL式と属性を拒否します。「属性ステートメントを定義する」を参照してください。
サブスクリプションを管理のボタンを削除
設定ページから、サブスクリプションを管理のボタンを削除しました。
早期アクセス
OIDCトークンエンドポイントのネットワーク制限はプレビュー内のEAです
OIDCトークンのエンドポイントにネットワーク制限を適用して、トークンのセキュリティを強化できるようになりました。「OpenID Connectアプリ統合を作成する」を参照してください。
Okta統合IdPタイプはプレビュー内のEAです
Okta統合IdPを使用すると、Okta orgを外部IdPとして使用でき、構成を簡素化して安全なデフォルトを提供できます。「Okta統合IDプロバイダーを追加する」を参照してください。
Universal Directoryマップのトグル
新しいUniversal Directory (UD)マップのトグルを使用すると、管理者はユーザーのメールアドレスをユーザーIDにリンクできます。これにより、管理者はセルフサービス登録機能を有効化できます。「一般的なセキュリティ」を参照してください。
Identity Governance管理者アプリのMFAを強制適用する
Identity Governance管理者アプリのMFAの強制適用は、セルフサービスの早期アクセス機能として利用することはできなくなりました。この機能を有効または無効にするときは、管理者はOktaサポートに問い合わせる必要があります。「Admin ConsoleのMFAを有効にする」を参照してください。
LDAPでプロビジョニングされたユーザーのOUの移動
管理者がOktaをLDAPプロビジョニング設定に構成するときに、グループ割り当てを変更することでユーザーを別の組織単位(OU)に移動できるようになりました。「OktaをLDAPプロビジョニング設定に構成する」を参照してください。
Okta Hyperspaceエージェント、バージョン1.5.1
このバージョンには、セキュリティ強化が含まれます。
LDAPエージェント構成ファイルの変更をモニタリングするためのシステムログイベント
LDAP エージェントが構成ファイルの変更を検出すると、system.agent.ldap.config_change_detected
イベントが生成されます。
Oracle EBS用On-prem Connector
Oracle EBS用On-prem Connectorは、Oracle EBSオンプレミスアプリをOkta Identity Governanceに接続します。これにより、管理者はOktaで直接Oracle EBSエンタイトルメントを検出、表示、管理できます。この統合により、セキュリティの強化、時間の節約、権限管理の合理化ができて、カスタム統合の必要性がなくなります。「Oracle EBS用On-prem Connector」と「On-prem Connectorでサポートされるエンタイトルメント」を参照してください。
修正
-
管理者が、Sign-In Widget(第3世代)の[サインインについてヘルプが必要ですか?]リンクを編集できませんでした。(OKTA-917840)
-
プロビジョニングが有効になっていないアプリインスタンスで、グループプッシュエラーが表示されていました。(OKTA-924631)
-
システムログの
security.breached_credential.detected
イベントに、クライアントの場所、IPアドレス、ユーザーエージェントが表示されませんでした。(OKTA-934324) -
アプリ統合で[ユーザーがアプリで再アクティブ化されている場合]オプションが有効化されている場合、切断されたADユーザーがADSSOを使って再ログインする際の最初の試行が失敗していました。(OKTA-939542)
-
SmartRecruitersアプリ統合のベース
Role
属性にロールを追加できませんでした。(OKTA-944146) -
[Attribute length(属性の長さ)]が設定されている場合、[Profile Editor]でこれまで空白だったデフォルトの属性値を編集すると失敗しました。(OKTA-958747)
-
侵害された資格情報の保護機能によってOktaからログアウトされた一部のユーザーのカスタム属性値がユーザープロファイルから削除されていました。(OKTA-964312)
Okta Integration Network
- Cookroach Labs(SCIM)が利用可能になりました。 詳細を確認してください。
- Grace(OIDC)が利用可能になりました。詳細を確認してください。
- Hive(SCIM)が利用可能になりました。詳細を確認してください。
- Optmyzr(OIDC)が利用可能になりました。詳細を確認してください。
- Planfix(SCIM)が利用可能になりました。詳細を確認してください。
- Planfix(SAML)が利用可能になりました。詳細を確認してください。
- Okta Identity Cloud(API統合)向けのSplunkアドオンが利用可能になりました。詳細を確認してください。
プレビュー機能
Okta Expression Languageでのuser.getGroups()関数使用の拡張
管理者は、Expression Languageをサポートするすべての機能でuser.getGroups()
関数を使用できるようになりました。詳細については、「グループ関数」(https://developer.okta.com/docs/Reference/okta-expression-language/#group-functions)を参照してください。
表示されるグループメンバーシップの最大数の増加
非常に大きなグループのグループページに表示されるメンバーシップ数の最大値が100万件以上になりました。この数値をクリックすると、正確な数が表示されます。数値は2時間キャッシュされます。「グループメンバーの表示」を参照してください。
Oktaアプリの変更
次のアプリの表示およびユーザーへの割り当てができなくなりました。
- Okta Access Certifications
- Okta Access Requests Admin
- Okta Entitlement Management
また、これらのアプリのサインオンポリシーは、Okta Admin Consoleで使用する既存のサインオンポリシーがデフォルトとして設定されます。
Workdayによる増分インポートのサポート
Workdayに増分インポートを直ちに実行する機能が加わりました。増分インポートはフルインポートよりもはるかに速いです。ただし、ユーザーがカスタム属性のみを変更した場合は検出されないため、これらの変更を取得するには定期的にフルインポートを実行する必要があります。「増分インポート」を参照してください。
Admin Consoleへのアクセスを制限
管理者ロールが割り当てられたユーザーとグループは、デフォルトでAdmin Consoleアプリにアクセスできます。この機能を使用すると、スーパー管理者は代理管理者にアプリを手動で割り当てることを選択できます。これは、ビジネスパートナーなどアクセスの必要がない管理者やサードパーティの管理者、またはOkta APIのみを使用する管理者を有するorgに推奨されます。「管理者設定を構成する」を参照してください。
Admin Consoleへの新規の単一要素アクセスを防止する
この機能は、Admin Consoleへの単一要素アクセスを管理者が構成できないようにします。この機能は現在、新しいorgにのみ利用できます。
アプリケーションエンタイトルメントポリシー
管理者は、アプリを個人またはグループに割り当てる際に属性マッピングを上書きできるようになりました。また、属性をデフォルトのマッピングに戻すこともできます。「アプリケーション属性マッピングを上書きする」を参照してください。この機能は、すべてのorgで段階的に利用できるようになります。
エンドユーザーページでコンテンツセキュリティーポリシーを適用する
コンテンツセキュリティーポリシーが、カスタマイズ不可のページでカスタムドメインがあるorgのエンドユーザーページに適用されるようになりました。コンテンツセキュリティーポリシーのヘッダーにより、ブラウザーでWebページが実行できるアクションの種類を確実に認識できるようにすることで、クロスサイトスクリプトやデータインジェクションといった攻撃を検出できる追加のセキュリティーレイヤーを提供します。昨年から管理者ページにはポリシーがすでに適用され、エンドユーザーページに対してもレポートのみのモードに適用されています。今後もエンドユーザーページに対するコンテンツセキュリティーポリシーの適用を繰り返し行っていくことで、この最初のリリースよりも厳格にしていく予定です。
この機能は、すべてのorgで段階的に利用できるようになります。
システムログイベントの詳細
Oktaがセキュリティ脅威を特定すると、結果のシステムログエントリ「security.threat.detected」にイベントの詳細な理由が提供されるようになりました。「システムログ」を参照してください。
新しい柔軟なLDAP
新しいLDAPスキーマでは、メールをカスタムスキーマに移動し、名、姓、ユーザー名、UIDを任意にすることで柔軟性が向上します。これにより、LDAPスキーマに特定の属性が含まれていない場合のエラーシナリオを回避できます。
ThreatInsightのコアOkta APIエンドポイントでの対象範囲
Okta ThreatInsight対象範囲が、コアOkta APIエンドポイントに利用できるようになりました。
Okta ThreatInsightは、ヒューリスティックスと機械学習モデルに基づいて、Oktaの顧客ベース全体で悪意のあるアクティビティを一貫して示すIPアドレスのリストを更新して維持します。Okta orgにOkta ThreatInsightが有効化されている場合、これらの不正なIPアドレスからのリクエストはブロックされるか、さらに分析するために昇格されます。これまで、Okta ThreatInsightの対象範囲は、Okta認証エンドポイント(登録エンドポイントと復旧エンドポイントを含む)にのみ適用されていました。本リリースでは、認証エンドポイントに強化された攻撃パターンが検出され、非認証エンドポイントにも制限された攻撃パターンが検出されます。既存のOkta ThreatInsight構成に変更はありません。ログとブロックモード、ログモード、および除外ネットワーク ゾーンを使用しても、Okta ThreatInsightを有効化できます。高脅威のsecurity.threat.detectedイベントに対して、Negative IP Reputationの新しい理由が利用可能になりました。「Okta ThreatInsightのシステムログイベント」を参照してください。
SSOアプリのダッシュボードウィジェット
SSOアプリの新しいウィジェットには、選択した期間におけるorgの各アプリでのユーザーサインインイベント数が表示されます。これを使用すれば、最も頻繁に使用されるアプリを確認し、org全体の認証アクティビティを簡単に監視できます。
システムログのメール失敗イベント
管理者はシステムログでメール配信失敗イベントを表示できるようになりました。これにより、管理者がorg内のメールイベントアクティビティを適切に監視できるようになります。「システムログ」を参照してください。
フェデレーションブローカーモード
新しくなったFederation Broker Modeでは、アプリを特定のユーザーに事前に割り当てることなくOkta SSOが行えるようになります。アクセスは、認証ポリシーと各アプリの認可ルールでのみ管理できます。このモードを使用すると、インポートのパフォーマンスが向上し、大規模なorgで多くのユーザーとアプリを効果的に管理できます。
Office 365サインオンポリシーに追加のフィルターを選択する
管理者がアプリサインオンポリシーを作成するときに、Webブラウザーとモダン認証クライアントを区別できるように、フィルターが追加されました。
ユーザーのインポートのスケジューリング
アプリからOktaにユーザーをインポートするときに、インポートが1時間ごと、毎日、または毎週の間隔で行われるようにスケジュールできるようになりました。Orgにとって都合のよい時間にインポートをスケジュールすると、サービスが中断する可能性が低くなり、手動でインポートを開始する必要がなくなります。アプリケーションで増分インポートが許可されている場合は、完全インポートと増分インポートの両方のスケジュールを作成できます。これはセルフサービスの機能です。
SCIMプロビジョニングのnull値
SCIMプロビジョニングを使用するときに、任意の属性タイプでnull値をOktaに送信できるようになりました。この変更により、顧客が受け取るエラーメッセージが減り、エンドユーザーのID管理が簡素化されます。
デバイス認可の付与タイプ
インターネット技術の進歩により、スマートデバイスやIoT(Internet of Things)が急増しています。消費者はこれらのデバイスで実行されるアプリケーションにサインインする必要がありますが、スマートTV、車のコンソール、サーモスタットなどのデバイスではWebブラウザーがサポートされていないか、入力機能が制限されています。その結果、ユーザーはエラーが発生しやすく時間のかかる、安全でない認証ソリューションを利用することになります。
デバイス認可付与機能はOAuth 2.0の付与タイプで、入力に制約のあるデバイスだけでなく、Webブラウザーのないデバイスにもサインインできます。この機能により、ユーザーはラップトップや携帯電話などのセカンダリデバイスを使用して、そのようなデバイスで実行されるアプリケーションへのサインインを完了することができます。
LDAP管理者によるパスワードリセット
LDAPと統合されたorgの場合、管理者がアクティブな個々のエンドユーザーのパスワードをリセットできるようになりました。「ユーザーパスワードをリセットする」を参照してください。
LDAPパスワードリセットオプション
LDAP代理認証設定で、ユーザー自身によるパスワードリセットの構成が可能になりました。この変更により、パスワード管理に必要な時間が短縮され、ユーザーがパスワードをすばやく簡単にリセットできるようになります。「LDAPの委任認証を有効にする」を参照してください。
Windows デバイス登録タスクバージョン 1.4.1
このリリースでは、以下の問題が修正されました。
- sAMAccountNameにスペースが含まれている場合、Oktaデバイス登録タスクのインストール時にエラーが表示され、インストールは完了しても機能しませんでした。
- Okta デバイス登録MSIファイルをダブルクリックすると、「不明な発行者」という警告が表示されました。
影響を受けるお客様は、Registration Taskをアンインストールし、1.4.1以降をインストールする必要があります。「 マネージドWindowsコンピューターにOkta Device Trustを強制適用する」・「Okta Device Trust for Windows Desktop Registration Taskのバージョン履歴」を参照してください。
CSVの増分インポート
増分インポートでは、前回のインポート以降に作成、更新、または削除されたユーザーのみをインポートするため、パフォーマンスが向上します。「CSVディレクトリ統合を管理する」を参照してください。この機能は、以前に2020.09.0の本番環境でリリースされており、再リリースとなっていることに注意してください。
パスワードの変更に関する通知メール
不必要なメール通知を排除するために、[Password changed notification email(パスワードの変更に関する通知メール)]設定は、新しいプレビューorgではデフォルトで有効ではなくなりました。「エンドユーザーへのパスワードの変更通知」を参照してください。
Office 365サイレントアクティベーション
OktaをIDプロバイダーとして使用すると、Okta Office 365サイレントアクティベーションにより、ドメイン参加共有ワークステーションまたはVDI環境でOffice 365アプリにアクセスするMicrosoft Office 365エンドユーザーにシームレスなエクスペリエンスが提供されます。エンドユーザーがドメイン参加Windowsマシンにログインすれば、それ以上のアクティベーション手順は必要ありません。「Office 365サイレントアクティベーション:新しいリリースの実装」を参照してください。
ローカライズされたエンドユーザーようこそメール
ユーザーのデフォルトのlocaleプロパティを参照することにより、Oktaが新しいエンドユーザーに送信するようこそ
メールをローカライズする機能が一般利用可能になりました。「一般的なカスタマイズ設定を構成する」を参照してください。
[People(ユーザー)]ページの改善
[People(ユーザー)]ページが改善され、ユーザーリストをユーザータイプでフィルタリングできるようになりました。「Okta Universal Directoryカスタムユーザータイプに関する既知の問題」を参照してください。
UI要素の変更
[Provisioning(プロビジョニング)]ページ([General Settings(一般設定)])のドロップダウンメニューが標準化されています。「アプリのプロビジョニング」を参照してください。
早期アクセス機能の自動登録
すべての早期アクセス機能で、利用可能になったときに有効にする代わりに、自動登録を選択できるようになりました。
LDAPインターフェイスを使用してアプリをOktaに接続する
LDAPインターフェイスを使用すると、クラウドのOkta Universal Directoryに対してレガシーLDAPアプリを認証できます。LDAPインターフェイスを使用すると、オンプレミスのLDAPサーバーを必要とせずに、LDAPを介してOktaに対して直接認証が行われます。さらに、LDAPインターフェイスは検索などの他のLDAP機能もサポートしています。