Okta Classic Engine リリースノート(プレビュー)
バージョン:2025.12.0
2025年12月
一般提供
Okta Provisioning AgentとSDKの新しいバージョン
Okta Provisioning Agent 3.0.6とOkta Provisioning Agent SDK 3.0.6が利用可能になりました。このリリースでは以下が提供されます。
- maxItemsPerPageを特定の要件に合わせて構成できるようになりました。
- メモリの最適化とその他の軽微な改善。
Netskope Admin Consoleのプロビジョニング
Netskope Admin Consoleアプリ統合でプロビジョニングを利用できるようになりました。アプリをプロビジョニングするとき、エンタイトルメント管理などのセキュリティ機能を有効にできます。「Netskope Admin Console」を参照してください。
非アクティブ化されたユーザーのプロファイル更新を許可する
スーパー管理者は、非アクティブ化されたユーザーのプロファイル属性値の更新を許可して、プロファイルを最新に保てるようになりました。「非アクティブ化されたユーザープロファイルを編集する」を参照してください。
Admin Consoleのシームレスなナビゲーション
アプリスイッチャー、[管理者]ボタン、または直接URLからAdmin Consoleに移動するときに、アクティブなセッションが再利用されるようになりました。これにより、重複するMFAプロンプトが削減され、ナビゲーションエクスペリエンスが向上します。
ファーストパーティアプリスイッチャーの更新
以前は、Oktaファーストパーティアプリスイッチャーを使用するには、Okta管理者である必要がありました。今では、管理者以外のユーザーはアプリスイッチャーを使用して、ISPM、Workflows、パートナー管理者ポータルなどのOktaファーストパーティアプリ間をシームレスに移動できるようになりました。
Okta LDAPエージェント、バージョン5.25.0
このバージョンのエージェントには、セキュリティ強化が含まれます。
コンテンツセキュリティポリシーにnonce提供開始
Oktaは、htmlコンテンツを返すエンドポイントすべてで、Content-Security-Policyのscript-srcディレクティブからunsafe-evalを削除しています。これらはカスタマイズできないエンドポイントで、Content-Type応答ヘッダーはtext/htmlです。これは、2段階のプロセスです。まず、unsafe-evalがContent-Security-Policy-Report-Onlyヘッダーのscript-srcディレクティブから削除されます。その後、unsafe-evalインスタンスの違反が修正された後で、unsafe-evalがContent-Security-Policy応答ヘッダーscript-srcディレクティブから削除されます。
この更新は、すべてのエンドポイントが新しいContent-Security-Policyを強制適用するまで数か月にわたって段階的に適用されるため、この変更は複数のリリースで実施されます。
LDAP双方向グループ管理
Lightweight Directory Access Protocol(LDAP)の双方向グループ管理では、Okta内からLDAPグループを管理できます。IDとアクセス要件に基づいてユーザーをグループに追加したり、削除したりできます。これにより、Oktaで加えたユーザーアクセスの変更が、LDAPに反映されます。
Oktaが管理できるのは、LDAPまたはActive Directory(AD)統合を使ってOktaにインポートされたユーザーとグループのグループメンバーシップのみです。LDAPまたはAD統合を通じてインポートされなかったユーザーやグループ、またはこの機能を利用している統合の組織単位の範囲外にあるユーザーやグループを管理することはできません。
LDAP増分インポートの最大クロックスキューオプションがさらに詳細に
LDAP増分インポートに、より詳細な最大クロックスキュー間隔が追加され、さらに適切な調整が可能になり、パフォーマンスが向上しました。クロックスキューを1分、2分、5分または10分に構成できるようになりました。この細かな構成により、 LDAPサーバーの実際の最大クロックドライブに近いクロックスキュー値を使用することで、インポート速度を向上できます。また、サーバーの時計が一時的に逆戻りしたときに更新を見逃すことを防止することで、データ精度を確保します。
タスクのエスカレーション
アクセスリクエスト管理者とリクエスト割り当て先は、リクエスト内の失効タスクをタスク割り当て先のマネージャーにエスカレーションできます。[設定]ページで [要求者にタスクのエスカレーションを許可する]トグルを有効にした場合、要求者はアクセスリクエスト内のタスクもエスカレーションできます。これにより、リクエストの解決が早くなり、ボトルネックを防ぎ、生産性を向上させ、危険な回避策の使用を減らすことができます。タスクエスカレーションは、安全で監査可能な自動化されたプロセスです。効率的な操作と強力なセキュリティポスチャの両方をサポートすることで、時間ベースのアクセスリクエストモデルの導入に役立ちます。
「タスクを管理する」および「要求者にタスクのエスカレーションを許可する」を参照してください。
この機能は、プレビュー環境で一般利用可能で、本番環境向けの早期アクセスリリースです。
ユーザーのプレビュー機能の変更
キャンペーンウィザードの[ユーザー]ページで、[ユーザーをプレビュー]は[式スコープをプレビュー]」に変わりました。ユーザーをプレビューするとき、Oktaは指定したOkta Expression Language式に対してのみユーザーを検証します。式に一致するもののキャンペーン内のリソースに割り当てられていないユーザーは、キャンペーンに含まれません。
Admin Consoleの新しい検索ロジック
スポットライト検索では、「次を含む」ロジックを使用して、検索語の先頭のみではなく、任意の部分から一致を返すようになりました。これにより、管理者はより迅速かつ簡単に結果を確認できます。「Okta Admin Consoleの検索」を参照してください。
Workdayがエンタイトルメント管理をサポート
Workdayでのエンタイトルメント管理により、Workdayユーザーベースのセキュリティグループの管理が可能になります。プロビジョニングとエンタイトルメント管理を有効にすると、OktaはWorkdayユーザーベースのセキュリティグループの管理、認証、割り当てを行うことができます。インポートを通じて、OktaはWorkdayからユーザーベースのセキュリティグループとユーザーの現在の割り当てを検出します。その後、ポリシー、SODルール、バンドル、期限付きリクエストなどのすべてのエンタイトルメント機能が、Workdayユーザーベースのセキュリティグループでサポートされます。「エンタイトルメント管理」を参照してください。
グループおよびグループメンバーシップ向けAnything-as-a-Source
Anything-as-a-Source(XaaS)機能により、顧客はOktaでカスタムIDソースを使用することができます。XaaSを利用すると、顧客はカスタムHRアプリまたはカスタムデータベースに接続して、OktaのUniversal Directoryにユーザーなどのエンティティを取り込むことができます。
このリリースでは、グループとグループメンバーシップに関するXaaS機能が提供され、顧客はXaaSでグループの取り込みを開始することができます。Oktaでは、XaaS APIを使用して、任意のIDソースからユーザーの作成と更新、グループの作成と更新、OktaのUniversal Directoryでのグループメンバーシップの管理を行えるようになりました。「Anything-as-a-Source」を参照してください。
OIDC IDトークンのJSON Web Encryption
Oktaで保護されたカスタムアプリ統合のOIDC IDトークンを、JSON Web暗号化を使用して暗号化できるようになりました。「アプリ統合用のOIDC IDトークンを暗号化する」を参照してください。
カスタムアプリ向けの統合クレーム生成
統合クレーム生成は、Oktaで保護されたカスタムアプリ統合のクレーム(OIDC)および属性ステートメント(SAML)を管理するための、合理化された新しいインターフェイスです。グループクレームやユーザープロファイルクレームに加えて、新しいクレームタイプ「エンタイトルメント」(OIGが必要)、「デバイスプロファイル」「セッションID」「セッションAMR」「アプリ統合にカスタムクレームを構成する」を参照してください。
security.request.blockedイベント向けの新しいSystem Logオブジェクト
動的ゾーンおよび機能強化された動的ゾーンに関する次のIpDetailsオブジェクトが、System Logに表示されるようになりました。
Operatorは、タイプがVPNであるかプロキシーであるかを示しますTypeには、VPN、Proxy、Torなどの値が含まれます。IsAnonymousは、プロキシーが匿名かどうかを示します。
これらのオブジェクトは、デバッグコンテキストの文字列のみのキーから、リスクと動作のテレメトリをセキュリティコンテキストイベントの専用の構造化フィールドに移動します。この変更により、リスクの可視性が向上し、文字列解析の必要がなくなります。
レルムピッカーのアクセスの改善
レルムピッカーが、管理者のみがアクセスできる最大5つのレルムを自動的にフィルタリングして表示するようになりました。
security.request.blockedイベントのSystem Logの更新
security.request.blockedイベントが動的または機能強化された動的ネットワークゾーンによってトリガーされると、System Logがclient.zoneフィールドを入力するようになりました。
早期アクセス
SHA-256ダイジェストアルゴリズムのサポート
外部IdPに送信されるSAML AuthnRequestをハッシュする場合に、OktaはSHA-256ダイジェストアルゴリズムをサポートするようになりました。
WorkflowsのGovernanceがEAで利用可能
Okta Identity Governanceを使用して、Workflowsロールへのアクセスを管理できるようになりました。これにより、Workflowsへのアクセスを会社の要件に準拠し、一貫して付与できるようになります。「WorkflowsのGovernance」を参照してください。
侵害された資格情報の保護
侵害された資格情報の影響からorgを保護します。Oktaでは、サードパーティが選択したデータセットと比較した後、ユーザー名とパスワードの組み合わせが侵害されたと判断された場合、ユーザーパスワードのリセット、強制ログアウト、委任Workflowの呼び出しなど、パスワードポリシーにより保護応答をカスタマイズできます。「侵害された資格情報の保護」を参照してください。
侵害された資格情報の保護を米国連邦政府のお客様にもご利用いただけるようになりました。
インラインフックとイベントフックでカスタム管理者ロールを有効にする
インラインフックおよびイベントフックフレームワークで、カスタム管理者ロールの読み取りおよび書き込み権限がサポートされるようになりました。この機能強化により、これまでスーパー管理者ロールが必要だったインラインフックとイベントフックを管理するための、きめ細かいアクセスが可能になります。「ロールの権限」を参照してください。
修正事項
-
ユーザー一致の段階でインポートが失敗することがありました。これは、内部トランザクションが必要なデータベースロックを取得できないために発生しました。(OKTA-868327)
-
デプロイ中にグループプッシュが失敗することがありました。(OKTA-941489)
-
複数値ロールが構成されていて、ロールまたは属性の1つがユーザーに対して未定義またはnullである場合に、SCIM 2.0ユーザー更新操作で空のオブジェクトが送信されていました。(OKTA-945579)
-
管理者がリンクされたグループを作成したときに、説明が表示されませんでした。(OKTA-996729)
-
インポートがアプリの未割り当ての制限を超えると、[詳細]リンクでエラーが発生しました。さらに、[アプリ割り当ての削除制限]リンクが、[インポートセーフガード]構成設定ではなく、[メイン割り当て]タブに誤ってリダイレクトされていました。(OKTA-1010606)
-
CSVディレクトリ統合で管理者が[アプリケーションデータの更新]を選択すると、System Logに誤解を招くエラーが表示されていました。システムがサポートされないカスタムオブジェクトのダウンロードを試み、インポートが正常に完了したにもかかわらず、エラーが生成されていました。(OKTA-1011439)
-
ユーザーによるMFA登録レポートで、「Authenticatorタイプ別の登録」の動的チャートの読み込み時に、「予期せぬ応答」エラーが表示されていました。(OKTA-1030846)
-
カスタム管理者ロールを持つユーザーは、Active Directoryで割り当てを確認できませんでした。(OKTA-1034364)
-
Admin ConsoleでOIDC IDプロバイダーを構成する際、issuerModeプロパティがなかったため、管理者がこのプロパティを設定できませんでした。(OKTA-1035016)
-
DirSyncが有効な場合に、Active Directoryのインポートが[Incorrect result size(誤った結果サイズ)]エラーで失敗していました。これは、Active Directoryでの新規グループの作成が、インポートプロセス中に重複するエントリを生成したために発生していました。(OKTA-1043592)
-
[再試行が選択されました]をクリックして情報タスクを再試行すると、誤って失敗することがありました。(OKTA-1043901)
-
プロビジョニングが無効になった後も、Office 365インスタンスのDirSyncジョブがスケジュールされ続けていました。(OKTA-1059506)
-
複数のグループ応答属性を送信するようにRadiusエージェントが構成されている場合、[RADIUS応答にグループを含める]チェックボックスの状態が正しく更新されていませんでした。(OKTA-1060165)
-
ユーザープロファイル > [管理者ロール]タブと[管理者]ページ全体に、いくつかの配置の問題がありました。(OKTA-1061753)
-
JDBCアプリケーションでのユーザーエンタイトルメントの更新が、リモートプロファイルへの同期に失敗していました。これは、ユーザーのプロファイルデータに変更がなく、ユーザーが再インポートされたときに発生しました。(OKTA-1070338)
Okta Integration Network
-
Svix(OIDC)が利用可能になりました。詳細を確認してください。
-
OpenPolicy(SCIM)が利用可能になりました。詳細を確認してください。
-
Coalition Controlの統合ガイドが新しくなりました。
-
Practising Law Institute(SWA)が更新されました。(OKTA-1063963)
-
Clearout.io(OIDC)のユースケースが更新され、新しいログイン開始URIが追加されました。詳細を確認してください。
-
SvixでUniversal Logoutがサポートされるようになりました。
-
Harmony SASE(SCIM)が更新され、新しいリージョンが追加されました。
プレビュー機能
ファーストパーティアプリスイッチャーの更新
以前は、Oktaファーストパーティアプリスイッチャーを使用するには、Okta管理者である必要がありました。今では、管理者以外のユーザーはアプリスイッチャーを使用して、ISPM、Workflows、パートナー管理者ポータルなどのOktaファーストパーティアプリ間をシームレスに移動できるようになりました。
Lightweight Directory Access Protocolの双方向グループ管理
Lightweight Directory Access Protocol(LDAP)の双方向グループ管理では、Okta内からLDAPグループを管理できます。IDとアクセス要件に基づいてユーザーをグループに追加したり、削除したりできます。これにより、Oktaで加えたユーザーアクセスの変更が、LDAPに反映されます。
Oktaが管理できるのは、LDAPまたはActive Directory(AD)統合を使ってOktaにインポートされたユーザーとグループのグループメンバーシップのみです。LDAPまたはAD統合を通じてインポートされなかったユーザーやグループ、またはこの機能を利用している統合の組織単位の範囲外にあるユーザーやグループを管理することはできません。
LDAP増分インポートの最大クロックスキューオプションがさらに詳細に
LDAP増分インポートに、より詳細な最大クロックスキュー間隔が追加され、さらに適切な調整が可能になり、パフォーマンスが向上しました。クロックスキューを1分、2分、5分または10分に構成できるようになりました。この細かな構成により、 LDAPサーバーの実際の最大クロックドライブに近いクロックスキュー値を使用することで、インポート速度を向上できます。また、サーバーの時計が一時的に逆戻りしたときに更新を見逃すことを防止することで、データ精度を確保します。
グループおよびグループメンバーシップ向けAnything-as-a-Source
Anything-as-a-Source(XaaS)機能により、顧客はOktaでカスタムIDソースを使用することができます。XaaSを利用すると、顧客はカスタムHRアプリまたはカスタムデータベースに接続して、OktaのUniversal Directoryにユーザーなどのエンティティを取り込むことができます。
このリリースでは、グループとグループメンバーシップに関するXaaS機能が提供され、顧客はXaaSでグループの取り込みを開始することができます。Oktaでは、XaaS APIを使用して、任意のIDソースからユーザーの作成と更新、グループの作成と更新、OktaのUniversal Directoryでのグループメンバーシップの管理を行えるようになりました。「Anything-as-a-Source」を参照してください。
OIDC IDトークンのJSON Web Encryption
Oktaで保護されたカスタムアプリ統合のOIDC IDトークンを、JSON Web暗号化を使用して暗号化できるようになりました。「アプリ統合用のOIDC IDトークンを暗号化する」を参照してください。
カスタムアプリ向けの統合クレーム生成
統合クレーム生成は、Oktaで保護されたカスタムアプリ統合のクレーム(OIDC)および属性ステートメント(SAML)を管理するための、合理化された新しいインターフェイスです。グループクレームやユーザープロファイルクレームに加えて、新しいクレームタイプ「エンタイトルメント」(OIGが必要)、「デバイスプロファイル」「セッションID」「セッションAMR」「アプリ統合にカスタムクレームを構成する」を参照してください。
security.request.blockedイベント向けの新しいSystem Logオブジェクト
動的ゾーンおよび機能強化された動的ゾーンに関する次のIpDetailsオブジェクトが、System Logに表示されるようになりました。
Operatorは、タイプがVPNであるかプロキシーであるかを示しますTypeには、VPN、Proxy、Torなどの値が含まれます。IsAnonymousは、プロキシーが匿名かどうかを示します。
これらのオブジェクトは、デバッグコンテキストの文字列のみのキーから、リスクと動作のテレメトリをセキュリティコンテキストイベントの専用の構造化フィールドに移動します。この変更により、リスクの可視性が向上し、文字列解析の必要がなくなります。
Workdayによる増分インポートのサポート
Workdayに増分インポートを直ちに実行する機能が加わりました。増分インポートはフルインポートよりもはるかに速いです。ただし、ユーザーがカスタム属性のみを変更した場合は検出されないため、これらの変更を取得するには定期的にフルインポートを実行する必要があります。「増分インポート」を参照してください。
Admin Consoleへの新規の単一要素アクセスを防止する
この機能は、Admin Consoleへの単一要素アクセスを管理者が構成できないようにします。この機能は現在、新しいorgにのみ利用できます。
アプリケーションエンタイトルメントポリシー
管理者は、アプリを個人またはグループに割り当てる際に属性マッピングを上書きできるようになりました。また、属性をデフォルトのマッピングに戻すこともできます。「アプリケーション属性マッピングを上書きする」を参照してください。この機能は、すべてのorgで段階的に利用できるようになります。
エンドユーザーページでコンテンツセキュリティーポリシーを適用する
コンテンツセキュリティーポリシーが、カスタマイズ不可のページでカスタムドメインがあるorgのエンドユーザーページに適用されるようになりました。コンテンツセキュリティーポリシーのヘッダーにより、ブラウザーでWebページが実行できるアクションの種類を確実に認識できるようにすることで、クロスサイトスクリプトやデータインジェクションといった攻撃を検出できる追加のセキュリティーレイヤーを提供します。昨年から管理者ページにはポリシーがすでに適用され、エンドユーザーページに対してもレポートのみのモードに適用されています。今後もエンドユーザーページに対するコンテンツセキュリティーポリシーの適用を繰り返し行っていくことで、この最初のリリースよりも厳格にしていく予定です。
この機能は、すべてのorgで段階的に利用できるようになります。
システムログイベントの詳細
Oktaがセキュリティ脅威を特定すると、結果のシステムログエントリ「security.threat.detected」にイベントの詳細な理由が提供されるようになりました。「システムログ」を参照してください。
新しい柔軟なLDAP
新しいLDAPスキーマでは、メールをカスタムスキーマに移動し、名、姓、ユーザー名、UIDを任意にすることで柔軟性が向上します。これにより、LDAPスキーマに特定の属性が含まれていない場合のエラーシナリオを回避できます。
ThreatInsightのコアOkta APIエンドポイントでの対象範囲
Okta ThreatInsight対象範囲が、コアOkta APIエンドポイントに利用できるようになりました。
Okta ThreatInsightは、ヒューリスティックスと機械学習モデルに基づいて、Oktaの顧客ベース全体で悪意のあるアクティビティを一貫して示すIPアドレスのリストを更新して維持します。Okta orgにOkta ThreatInsightが有効化されている場合、これらの不正なIPアドレスからのリクエストはブロックされるか、さらに分析するために昇格されます。これまで、Okta ThreatInsightの対象範囲は、Okta認証エンドポイント(登録エンドポイントと復旧エンドポイントを含む)にのみ適用されていました。本リリースでは、認証エンドポイントに強化された攻撃パターンが検出され、非認証エンドポイントにも制限された攻撃パターンが検出されます。既存のOkta ThreatInsight構成に変更はありません。ログとブロックモード、ログモード、および除外ネットワーク ゾーンを使用しても、Okta ThreatInsightを有効化できます。高脅威のsecurity.threat.detectedイベントに対して、Negative IP Reputationの新しい理由が利用可能になりました。「Okta ThreatInsightのシステムログイベント」を参照してください。
SSOアプリのダッシュボードウィジェット
SSOアプリの新しいウィジェットには、選択した期間におけるorgの各アプリでのユーザーサインインイベント数が表示されます。これを使用すれば、最も頻繁に使用されるアプリを確認し、org全体の認証アクティビティを簡単に監視できます。
システムログのメール失敗イベント
管理者はシステムログでメール配信失敗イベントを表示できるようになりました。これにより、管理者がorg内のメールイベントアクティビティを適切に監視できるようになります。「システムログ」を参照してください。
フェデレーションブローカーモード
新しくなったFederation Broker Modeでは、アプリを特定のユーザーに事前に割り当てることなくOkta SSOが行えるようになります。アクセスは、認証ポリシーと各アプリの認可ルールでのみ管理できます。このモードを使用すると、インポートのパフォーマンスが向上し、大規模なorgで多くのユーザーとアプリを効果的に管理できます。
ユーザーのインポートのスケジューリング
アプリからOktaにユーザーをインポートするときに、インポートが1時間ごと、毎日、または毎週の間隔で行われるようにスケジュールできるようになりました。Orgにとって都合のよい時間にインポートをスケジュールすると、サービスが中断する可能性が低くなり、手動でインポートを開始する必要がなくなります。アプリケーションで増分インポートが許可されている場合は、完全インポートと増分インポートの両方のスケジュールを作成できます。これはセルフサービスの機能です。
SCIMプロビジョニングのnull値
SCIMプロビジョニングを使用するときに、任意の属性タイプでnull値をOktaに送信できるようになりました。この変更により、顧客が受け取るエラーメッセージが減り、エンドユーザーのID管理が簡素化されます。
デバイス認可の付与タイプ
インターネット技術の進歩により、スマートデバイスやIoT(Internet of Things)が急増しています。ユーザーはこれらのデバイスで実行されるアプリにサインインする必要がありますが、スマートTV、車のコンソール、サーモスタットなどのデバイスではWebブラウザーがサポートされていないか、入力機能が制限されています。そのため、ユーザーはエラーが発生しやすく時間のかかる、安全でない認証ソリューションを利用することになります。
デバイス認可付与機能はOAuth 2.0の付与タイプで、入力に制約のあるデバイスだけでなく、Webブラウザーのないデバイスにもサインインできます。この機能により、ユーザーはノートパソコンや携帯電話などのセカンダリデバイスを使用して、そのようなデバイスで実行されるアプリにサインインすることができます。
LDAP管理者によるパスワードリセット
LDAPと統合されたorgの場合、管理者がアクティブな個々のエンドユーザーのパスワードをリセットできるようになりました。「ユーザーパスワードをリセットする」を参照してください。
LDAPパスワードリセットオプション
LDAP委任認証設定で、ユーザー自身によるパスワードリセットの構成が可能になりました。この変更により、パスワード管理に必要な時間が短縮され、ユーザーがパスワードをすばやく簡単にリセットできるようになります。「LDAPの委任認証を有効にする」を参照してください。
Windows デバイス登録タスクバージョン 1.4.1
このリリースでは、以下の問題が修正されました。
- sAMAccountNameにスペースが含まれている場合、Oktaデバイス登録タスクのインストール時にエラーが表示され、インストールは完了しても機能しませんでした。
- Oktaデバイス登録MSIファイルをダブルクリックすると、「不明な発行者」という警告が表示されました。
影響を受けるお客様は、登録タスクをアンインストールしてから、1.4.1以降をインストールする必要があります。「 マネージドWindowsコンピューターにOkta Device Trustを強制適用する」・「Okta Device Trust for Windows Desktop Registration Taskのバージョン履歴」を参照してください。
CSVの増分インポート
増分インポートでは、前回のインポート以降に作成、更新、または削除されたユーザーのみをインポートするため、パフォーマンスが向上します。「CSVディレクトリ統合を管理する」を参照してください。この機能は、以前に2020.09.0の本番環境でリリースされており、再リリースとなっていることに注意してください。
Password changed notification email(パスワードの変更に関する通知メール)
不必要なメール通知を排除するために、[Password changed notification email(パスワードの変更に関する通知メール)]設定は、新しいプレビューorgではデフォルトで有効ではなくなりました。「エンドユーザーへのパスワードの変更通知」を参照してください。
Office 365サイレントアクティベーション
OktaをIDプロバイダーとして使用すると、Okta Office 365サイレントアクティベーションにより、ドメイン参加共有ワークステーションまたはVDI環境でOffice 365アプリにアクセスするMicrosoft Office 365エンドユーザーにシームレスなエクスペリエンスが提供されます。エンドユーザーがドメイン参加Windowsマシンにログインすれば、それ以上のアクティベーション手順は必要ありません。「Office 365サイレントアクティベーション:新しいリリースの実装」を参照してください。
ローカライズされたエンドユーザーようこそメール
ユーザーのデフォルトのlocaleプロパティを参照することにより、Oktaが新しいエンドユーザーに送信するようこそメールをローカライズする機能が一般利用可能になりました。「一般的なカスタマイズ設定を構成する」を参照してください。
[People(ユーザー)]ページの改善
ユーザーページをユーザータイプでフィルタリングできるようになりました。「Okta Universal Directoryカスタムユーザータイプに関する既知の問題」を参照してください。
UI要素の変更
[Provisioning(プロビジョニング)]ページ([General Settings(一般設定)])のドロップダウンメニューが標準化されています。「アプリのプロビジョニング」を参照してください。
早期アクセス機能の自動登録
すべての早期アクセス機能で、利用可能になったときに有効にする代わりに、自動登録を選択できるようになりました。
LDAPインターフェイスを使用してアプリをOktaに接続する
LDAPインターフェイスを使用すると、クラウドのUniversal Directoryに対してレガシーLDAPアプリを認証できます。LDAPインターフェイスを使用すると、オンプレミスのLDAPサーバーを必要とせずに、LDAPを介してOktaに対して直接認証が行われます。さらに、LDAPインターフェイスは検索などの他のLDAP機能もサポートしています。
Workdayによる増分インポートのサポート
Workdayに増分インポートを直ちに実行する機能が加わりました。増分インポートはフルインポートよりもはるかに速いです。ただし、ユーザーがカスタム属性のみを変更した場合は検出されないため、これらの変更を取得するには定期的にフルインポートを実行する必要があります。「増分インポート」を参照してください。
Admin Consoleへの新規の単一要素アクセスを防止する
この機能は、Admin Consoleへの単一要素アクセスを管理者が構成できないようにします。この機能は現在、新しいorgにのみ利用できます。
アプリケーションエンタイトルメントポリシー
管理者は、アプリを個人またはグループに割り当てる際に属性マッピングを上書きできるようになりました。また、属性をデフォルトのマッピングに戻すこともできます。「アプリケーション属性マッピングを上書きする」を参照してください。この機能は、すべてのorgで段階的に利用できるようになります。
エンドユーザーページでコンテンツセキュリティーポリシーを適用する
コンテンツセキュリティーポリシーが、カスタマイズ不可のページでカスタムドメインがあるorgのエンドユーザーページに適用されるようになりました。コンテンツセキュリティーポリシーのヘッダーにより、ブラウザーでWebページが実行できるアクションの種類を確実に認識できるようにすることで、クロスサイトスクリプトやデータインジェクションといった攻撃を検出できる追加のセキュリティーレイヤーを提供します。昨年から管理者ページにはポリシーがすでに適用され、エンドユーザーページに対してもレポートのみのモードに適用されています。今後もエンドユーザーページに対するコンテンツセキュリティーポリシーの適用を繰り返し行っていくことで、この最初のリリースよりも厳格にしていく予定です。
この機能は、すべてのorgで段階的に利用できるようになります。
システムログイベントの詳細
Oktaがセキュリティ脅威を特定すると、結果のシステムログエントリ「security.threat.detected」にイベントの詳細な理由が提供されるようになりました。「システムログ」を参照してください。
新しい柔軟なLDAP
新しいLDAPスキーマでは、メールをカスタムスキーマに移動し、名、姓、ユーザー名、UIDを任意にすることで柔軟性が向上します。これにより、LDAPスキーマに特定の属性が含まれていない場合のエラーシナリオを回避できます。
ThreatInsightのコアOkta APIエンドポイントでの対象範囲
Okta ThreatInsight対象範囲が、コアOkta APIエンドポイントに利用できるようになりました。
Okta ThreatInsightは、ヒューリスティックスと機械学習モデルに基づいて、Oktaの顧客ベース全体で悪意のあるアクティビティを一貫して示すIPアドレスのリストを更新して維持します。Okta orgにOkta ThreatInsightが有効化されている場合、これらの不正なIPアドレスからのリクエストはブロックされるか、さらに分析するために昇格されます。これまで、Okta ThreatInsightの対象範囲は、Okta認証エンドポイント(登録エンドポイントと復旧エンドポイントを含む)にのみ適用されていました。本リリースでは、認証エンドポイントに強化された攻撃パターンが検出され、非認証エンドポイントにも制限された攻撃パターンが検出されます。既存のOkta ThreatInsight構成に変更はありません。ログとブロックモード、ログモード、および除外ネットワーク ゾーンを使用しても、Okta ThreatInsightを有効化できます。高脅威のsecurity.threat.detectedイベントに対して、Negative IP Reputationの新しい理由が利用可能になりました。「Okta ThreatInsightのシステムログイベント」を参照してください。
SSOアプリのダッシュボードウィジェット
SSOアプリの新しいウィジェットには、選択した期間におけるorgの各アプリでのユーザーサインインイベント数が表示されます。これを使用すれば、最も頻繁に使用されるアプリを確認し、org全体の認証アクティビティを簡単に監視できます。
システムログのメール失敗イベント
管理者はシステムログでメール配信失敗イベントを表示できるようになりました。これにより、管理者がorg内のメールイベントアクティビティを適切に監視できるようになります。「システムログ」を参照してください。
フェデレーションブローカーモード
新しくなったFederation Broker Modeでは、アプリを特定のユーザーに事前に割り当てることなくOkta SSOが行えるようになります。アクセスは、認証ポリシーと各アプリの認可ルールでのみ管理できます。このモードを使用すると、インポートのパフォーマンスが向上し、大規模なorgで多くのユーザーとアプリを効果的に管理できます。
ユーザーのインポートのスケジューリング
アプリからOktaにユーザーをインポートするときに、インポートが1時間ごと、毎日、または毎週の間隔で行われるようにスケジュールできるようになりました。Orgにとって都合のよい時間にインポートをスケジュールすると、サービスが中断する可能性が低くなり、手動でインポートを開始する必要がなくなります。アプリケーションで増分インポートが許可されている場合は、完全インポートと増分インポートの両方のスケジュールを作成できます。これはセルフサービスの機能です。
SCIMプロビジョニングのnull値
SCIMプロビジョニングを使用するときに、任意の属性タイプでnull値をOktaに送信できるようになりました。この変更により、顧客が受け取るエラーメッセージが減り、エンドユーザーのID管理が簡素化されます。
デバイス認可の付与タイプ
インターネット技術の進歩により、スマートデバイスやIoT(Internet of Things)が急増しています。ユーザーはこれらのデバイスで実行されるアプリにサインインする必要がありますが、スマートTV、車のコンソール、サーモスタットなどのデバイスではWebブラウザーがサポートされていないか、入力機能が制限されています。そのため、ユーザーはエラーが発生しやすく時間のかかる、安全でない認証ソリューションを利用することになります。
デバイス認可付与機能はOAuth 2.0の付与タイプで、入力に制約のあるデバイスだけでなく、Webブラウザーのないデバイスにもサインインできます。この機能により、ユーザーはノートパソコンや携帯電話などのセカンダリデバイスを使用して、そのようなデバイスで実行されるアプリにサインインすることができます。
LDAP管理者によるパスワードリセット
LDAPと統合されたorgの場合、管理者がアクティブな個々のエンドユーザーのパスワードをリセットできるようになりました。「ユーザーパスワードをリセットする」を参照してください。
LDAPパスワードリセットオプション
LDAP委任認証設定で、ユーザー自身によるパスワードリセットの構成が可能になりました。この変更により、パスワード管理に必要な時間が短縮され、ユーザーがパスワードをすばやく簡単にリセットできるようになります。「LDAPの委任認証を有効にする」を参照してください。
Windows デバイス登録タスクバージョン 1.4.1
このリリースでは、以下の問題が修正されました。
- sAMAccountNameにスペースが含まれている場合、Oktaデバイス登録タスクのインストール時にエラーが表示され、インストールは完了しても機能しませんでした。
- Oktaデバイス登録MSIファイルをダブルクリックすると、「不明な発行者」という警告が表示されました。
影響を受けるお客様は、登録タスクをアンインストールしてから、1.4.1以降をインストールする必要があります。「 マネージドWindowsコンピューターにOkta Device Trustを強制適用する」・「Okta Device Trust for Windows Desktop Registration Taskのバージョン履歴」を参照してください。
CSVの増分インポート
増分インポートでは、前回のインポート以降に作成、更新、または削除されたユーザーのみをインポートするため、パフォーマンスが向上します。「CSVディレクトリ統合を管理する」を参照してください。この機能は、以前に2020.09.0の本番環境でリリースされており、再リリースとなっていることに注意してください。
Password changed notification email(パスワードの変更に関する通知メール)
不必要なメール通知を排除するために、[Password changed notification email(パスワードの変更に関する通知メール)]設定は、新しいプレビューorgではデフォルトで有効ではなくなりました。「エンドユーザーへのパスワードの変更通知」を参照してください。
Office 365サイレントアクティベーション
OktaをIDプロバイダーとして使用すると、Okta Office 365サイレントアクティベーションにより、ドメイン参加共有ワークステーションまたはVDI環境でOffice 365アプリにアクセスするMicrosoft Office 365エンドユーザーにシームレスなエクスペリエンスが提供されます。エンドユーザーがドメイン参加Windowsマシンにログインすれば、それ以上のアクティベーション手順は必要ありません。「Office 365サイレントアクティベーション:新しいリリースの実装」を参照してください。
ローカライズされたエンドユーザーようこそメール
ユーザーのデフォルトのlocaleプロパティを参照することにより、Oktaが新しいエンドユーザーに送信するようこそメールをローカライズする機能が一般利用可能になりました。「一般的なカスタマイズ設定を構成する」を参照してください。
[People(ユーザー)]ページの改善
ユーザーページをユーザータイプでフィルタリングできるようになりました。「Okta Universal Directoryカスタムユーザータイプに関する既知の問題」を参照してください。
UI要素の変更
[Provisioning(プロビジョニング)]ページ([General Settings(一般設定)])のドロップダウンメニューが標準化されています。「アプリのプロビジョニング」を参照してください。
早期アクセス機能の自動登録
すべての早期アクセス機能で、利用可能になったときに有効にする代わりに、自動登録を選択できるようになりました。
LDAPインターフェイスを使用してアプリをOktaに接続する
LDAPインターフェイスを使用すると、クラウドのUniversal Directoryに対してレガシーLDAPアプリを認証できます。LDAPインターフェイスを使用すると、オンプレミスのLDAPサーバーを必要とせずに、LDAPを介してOktaに対して直接認証が行われます。さらに、LDAPインターフェイスは検索などの他のLDAP機能もサポートしています。