Okta Classic Engine リリースノート(プレビュー)
バージョン:2025.09.0
2025年9月
一般提供
特定のロールに付与されたエージェントを管理する権限
アプリケーションとその詳細情報を表示権限のあるカスタム管理者ロールは、エージェントを管理する権限を持つようになりました。これは、Oktaが今後のリリースで2つの権限を分離する上で役立つ一時的な変更です。「ロールの権限」を参照してください。
アクセスリクエストのユーザーエクスペリエンスの改善
アクセスリクエストの詳細ページが改善され、承認者が割り当てられたタスクと要求者が送信した回答がよりわかりやすくなりました。SlackまたはTeamsをアクセスリクエストと統合した場合、承認者が受け取るアクセスリクエストメッセージに同様の変更が加えられました。さらに、メール通知送信者の名前とアドレスが変更されました。送信者の名前はOkta Access Requests、メールアドレスはnoreply@at.okta.comです。
Okta Provisioning AgentとSDKの新しいバージョン
Okta Provisioning Agent 3.0.3とOkta Provisioning Agent SDK 2.4.0が利用可能になりました。これらのリリースには、バグ修正と軽微な改善が含まれます。
Org2Org OIDCサインオンモード
Org2Orgアプリに、Okta Integration IdPを使用したOIDCサインオンモードが含まれるようになりました。このサインオンモードにより、Org2Orgアプリとターゲットorg間の構成の複雑さが軽減され、OIDCの最新のセキュリティ機能を利用できるようになります。「Okta Org2OrgをOktaと統合する」を参照してください。
コンテンツセキュリティポリシーにnonce提供開始
Oktaは、htmlコンテンツを返すすべてのエンドポイントに対して、コンテンツセキュリティポリシーのstyle-srcディレクティブにnonceの提供を開始します。これは2段階のプロセスです。まず、nonceをContent-Security-Policy-Report-Onlyヘッダーstyle-srcディレクティブに追加します。次に、安全でないインラインインスタンスが識別され修正された後、nonceがContent-Security-Policyヘッダーstyle-srcディレクティブに追加されます。この更新は、すべてのエンドポイントに段階的に適用されます。
これらの更新は、Oktaドメインと、管理者がカスタマイズできないカスタムドメインページ(カスタムドメインのサインインページやエラーページなど)に適用されます。「エラーページをカスタマイズする」を参照してください。
リアルタイム更新によるインポートモニタリングの強化
インポートモニタリングダッシュボードから、インポートについてリアルタイムの進行状況を確認できるようになりました。これにより、現在処理中のデータチャンクの数など、進行中のインポートについて現在のステータスに対する可視性が高まります。
GZIP形式でAdmin Consoleレポートをエクスポートする
ほとんどのAdmin Consoleレポートを、既存のCSV形式に加えてGZIP形式でエクスポートできるようになりました。GZIPでのエクスポートは、行制限が高く(3,000万)、ファイルサイズは小さいです。
IWAエージェント、バージョン1.18.0
このバージョンのエージェントには、セキュリティ強化が含まれています。「Okta SSO IWA Webアプリのバージョン履歴」を参照してください。
Okta Expression Languageでのユーザーステータス
Okta Expression Languageでユーザーステータスを参照できるようになりました。グループルールでユーザーステータスを利用して、グループメンバーシップを推進することができます。
SharePointオンプレミス統合によるSHA-256のサポート
SharePoint統合(WS-Fed)では、認証トークンの署名にSHA-256が使用されるようになりました。
Admin Consoleでのレルムの更新
ユーザーを追加フォームのレルムドロップダウンのヒントテキストが更新され、手順が明確になりました。
OINカタログのセキュリティアイデンティティ統合
アプリ統合カタログを参照ページに、セキュリティアイデンティティ統合の新しいチェックボックス3つ([セキュリティアイデンティティ統合 - 基本]、[セキュリティアイデンティティ統合 - 高度]、[セキュリティアイデンティティ統合 - 戦略的])が表示されるようになりました。1つ選択すると、OINカタログにその特定の機能を持つアプリのみが表示されます。
Okta Integration IdPタイプ
Okta統合IdPを使用すると、Okta orgを外部IdPとして使用でき、構成を簡素化して安全なデフォルトを提供できます。「Okta統合IDプロバイダーを追加する」を参照してください。
Universal Directoryマップのトグル
新しいUniversal Directory (UD)マップのトグルを使用すると、管理者はユーザーのメールアドレスをユーザーIDにリンクできます。これにより、管理者はセルフサービス登録機能を有効化できます。「一般的なセキュリティ」を参照してください。
早期アクセス
グループおよびグループメンバーシップ向けAnything-as-a-Source
Anything-as-a-Source(XaaS)機能により、顧客はOktaでカスタムIDソースを使用することができます。XaaSを利用すると、カスタムHRアプリまたはカスタムデータベースに接続して、OktaのUniversal Directoryにユーザーを取り込むことができます。
このリリースでは、グループとグループメンバーシップに関するXaaS機能が提供され、顧客はXaaSでグループの取り込みを開始することができます。Oktaでは、XaaS APIを使用して、任意のIDソースからユーザーの作成と更新、グループの作成と更新、OktaのUniversal Directoryへのグループメンバーシップの管理を行えるようになりました。「Anything-as-a-Source」を参照してください。
修正事項
-
ユーザーがカスタムドメインにサインインした後、アプリスイッチャーの [管理者]をクリックすると、間違ったサインインフローが表示されることがありました。(OKTA-1014174)
Okta Integration Network
-
AmexGBT Egenciaに、アプリ名、アイコン、SAML統合に関する新しいガイドがあります。詳細を確認してください。
-
ZAMP(OIDC)に新しいリダイレクトURIが2つあります。詳細を確認してください。
-
Harmony(APIサービス統合)が利用可能になりました。詳細を確認してください。
-
Shift Security(APIサービス統合)が利用可能になりました。詳細を確認してください。
-
Team Finance(OIDC)が利用可能になりました。詳細を確認してください。
-
Island(Universal Logout)が利用可能になりました。詳細を確認してください。
-
CloudEagle(APIサービス統合)が更新されました。
-
Bruinが更新されました。
-
EventNeat(OIDC)が利用可能になりました。詳細を確認してください。
-
AdvancedMDが更新されました。
-
Nuclei(OIDC)が利用可能になりました。詳細を確認してください。
-
FloQast(SCIM)が利用可能になりました。詳細を確認してください。
-
Astrix Security Monitoring(APIサービス統合)が利用可能になりました。詳細を確認してください。
-
Scrut Automation(OIDC)に新しいリダイレクトURIがあります。
-
Canva(SWA)が更新されました。
-
eSignon(SAML)が利用可能になりました。詳細を確認してください。
-
eSignon(SCIM)が利用可能になりました。詳細を確認してください。
-
AmexGBT Egencia(SCIM)が利用可能になりました。詳細を確認してください。
週次のアップデート
2025.09.1:アップデート1は9月17日にデプロイメントを開始しました
一般提供
Googleグループインポートの保護強化
Googleからのグループインポート時に予期しないデータ損失を防ぐため、セーフガードが追加されました。大量のグループ削除が検出された場合、不正なデータのインポートを防ぐためにインポートは停止されます。
アクセスリクエストの代理自己承認を削除しました
職務分離を適切にするために、代理人は、自分の代理で行われたリクエストを承認できなくなりました。
Okta Provisioning Agent SDK、バージョン3.0.3
本リリースには、セキュリティ強化とJDK 17のサポートが含まれています。「Okta Provisioning AgentとSDKのバージョン履歴」を参照してください。
OINの新しい機能フィルター
アプリ統合カタログを参照ページで、クロスアプリアクセスと特権アクセス管理の機能フィルターが提供されるようになりました。新しいフィルターを利用すると、管理者はOIN内でクロスアプリアクセスと特権アクセス管理に対応したアプリを迅速に検索できます。
修正事項
-
管理者がpostMessage APIを使用するブラウザー拡張機能を使用していた場合、保護されたアクションの実行時にエラーが表示されることがありました。(OKTA-1001437)
-
ユーザーがカスタムドメインにサインインした後、アプリスイッチャーの [管理者]をクリックすると、間違ったサインインフローが表示されることがありました。(OKTA-1014174)
-
Identity Engineのアップグレードメールがorgの表示言語に翻訳されていませんでした。(OKTA-1016747)
Okta Integration Network
-
MIND(APIサービス統合)が利用可能になりました。詳細を確認してください。
-
Frame Security Platform Connector(APIサービス統合)が利用可能になりました。詳細を確認してください。
-
Fabrix Smart Actions(APIサービス統合)が利用可能になりました。詳細を見る
2025.09.2:アップデート2は10月1日にデプロイメントを開始しました
修正事項
-
アプリユーザーのユーザー名をリセットすると失敗する場合がありました。(OKTA-963368)
-
パスワード同期が有効になっている一部のSAMLアプリが、Okta End-User Dashboardに表示されませんでした。(OKTA-968243)
-
プロビジョニングが無効になっているアプリでグループプッシュのエラーが表示される場合がありました。(OKTA-983336)
-
カスタム管理者ロールを持つOkta管理者が、インポートされたユーザーの割り当てを確認できませんでした。(OKTA-988692)
-
一部のユーザーに、
ページが正しく表示されませんでした。(OKTA-990194) -
メールドメイン更新操作のSystem Logエントリに、ユーザー名とドメイン表示名の変更詳細がありませんでした。(OKTA-997246)
-
ADおよびLDAPのインポート時、グループメンバーシップの処理で一部の更新が行われませんでした。(OKTA-1007037)
-
Identity Governanceが有効になっている場合、管理者はユーザーまたはグループをPagerDutyに割り当てることができませんでした。(OKTA-1007080)
-
DirSyncが有効になっている場合、コンテナ内のユーザーの共通名(CN)が無効な値に変更されていました。(OKTA-1007911)
-
ユーザーがカスタムドメインにサインインした後、アプリスイッチャーの [管理者]をクリックすると、間違ったサインインフローが表示されることがありました。(OKTA-1014174)
-
Zoho Mail + ActionsにGovernance Engineが有効になっている場合、ユーザーのインポートが失敗しました。(OKTA-1015810)
-
非JITプロビジョニングおよびアカウントリンクOIDC IdPの[一致が見つからない場合]オプションが、誤って[Oktaサインインページにリダイレクト]のラベルが付いていました。(OKTA-961757)
-
カスタム管理者ロールを持つユーザーに、必要な権限がないにもかかわらず、
ページに[トークンを作成]ボタンが表示されていました。(OKTA-976743) -
グループプッシュイベント時にエラーが発生した場合、システムでは誤って失敗した操作が自動的に再試行されると報告されていました。(OKTA-1017493)
-
Profile Editorで、列挙プロパティがデフォルト値になっているチェックボックスが、プロパティのデフォルト値が選択されていても、ページの更新後に選択が解除されて表示されていました。(OKTA-1020672)
-
一部のユーザーに、電話Authenticatorの登録時「無効な電話番号」エラーが誤って表示されました。(OKTA-1024021)
Okta Integration Network
-
Employment heroが更新されました。
-
Notionが更新されました。
-
Briefly AIのACS、オーディエンスURL、属性ステートメントが更新されました。
-
Verizon MDMが利用可能になりました(APIサービス統合)。詳細を確認してください。
プレビュー機能
リアルタイム更新によるインポートモニタリングの強化
インポートモニタリングダッシュボードから、インポートについてリアルタイムの進行状況を確認できるようになりました。これにより、現在処理中のデータチャンクの数など、進行中のインポートについて現在のステータスに対する可視性が高まります。
Okta Expression Languageでのユーザーステータス
Okta Expression Languageでユーザーステータスを参照できるようになりました。グループルールでユーザーステータスを利用して、グループメンバーシップを推進することができます。
表示されるグループメンバーシップの最大数の増加
非常に大きなグループのグループページに表示されるメンバーシップ数の最大値が100万件以上になりました。この数値をクリックすると、正確な数が表示されます。数値は2時間キャッシュされます。「グループメンバーの表示」を参照してください。
Workdayによる増分インポートのサポート
Workdayに増分インポートを直ちに実行する機能が加わりました。増分インポートはフルインポートよりもはるかに速いです。ただし、ユーザーがカスタム属性のみを変更した場合は検出されないため、これらの変更を取得するには定期的にフルインポートを実行する必要があります。「増分インポート」を参照してください。
Admin Consoleへの新規の単一要素アクセスを防止する
この機能は、Admin Consoleへの単一要素アクセスを管理者が構成できないようにします。この機能は現在、新しいorgにのみ利用できます。
アプリケーションエンタイトルメントポリシー
管理者は、アプリを個人またはグループに割り当てる際に属性マッピングを上書きできるようになりました。また、属性をデフォルトのマッピングに戻すこともできます。「アプリケーション属性マッピングを上書きする」を参照してください。この機能は、すべてのorgで段階的に利用できるようになります。
エンドユーザーページでコンテンツセキュリティーポリシーを適用する
コンテンツセキュリティーポリシーが、カスタマイズ不可のページでカスタムドメインがあるorgのエンドユーザーページに適用されるようになりました。コンテンツセキュリティーポリシーのヘッダーにより、ブラウザーでWebページが実行できるアクションの種類を確実に認識できるようにすることで、クロスサイトスクリプトやデータインジェクションといった攻撃を検出できる追加のセキュリティーレイヤーを提供します。昨年から管理者ページにはポリシーがすでに適用され、エンドユーザーページに対してもレポートのみのモードに適用されています。今後、エンドユーザーページにコンテンツセキュリティポリシーの適用を繰り返すことで、最初となる本リリースよりも厳格になっていく予定です。
この機能は、すべてのorgで段階的に利用できるようになります。
システムログイベントの詳細
Oktaがセキュリティ脅威を特定すると、結果のシステムログエントリ「security.threat.detected」にイベントの詳細な理由が提供されるようになりました。「システムログ」を参照してください。
新しい柔軟なLDAP
新しいLDAPスキーマでは、メールをカスタムスキーマに移動し、名、姓、ユーザー名、UIDを任意にすることで柔軟性が向上します。これにより、LDAPスキーマに特定の属性が含まれていない場合のエラーシナリオを回避できます。
ThreatInsightのコアOkta APIエンドポイントでの対象範囲
Okta ThreatInsight対象範囲が、コアOkta APIエンドポイントに利用できるようになりました。
Okta ThreatInsightは、ヒューリスティックスと機械学習モデルに基づいて、Oktaの顧客ベース全体で悪意のあるアクティビティを一貫して示すIPアドレスのリストを更新して維持します。Okta orgにOkta ThreatInsightが有効化されている場合、これらの不正なIPアドレスからのリクエストはブロックするか、さらに分析するために昇格することができます。これまで、Okta ThreatInsightの対象範囲は、Okta認証エンドポイント(登録エンドポイントと復旧エンドポイントを含む)にのみ適用されていました。本リリースでは、認証エンドポイントに強化された攻撃パターンが検出され、非認証エンドポイントにも制限された攻撃パターンが検出されます。既存のOkta ThreatInsight構成に変更はありません。ログとブロックモード、ログモード、および除外ネットワーク ゾーンを使用しても、Okta ThreatInsightを有効化できます。高脅威のsecurity.threat.detectedイベントに対して、Negative IP Reputationの新しい理由が利用可能になりました。「Okta ThreatInsightのシステムログイベント」を参照してください。
SSOアプリのダッシュボードウィジェット
SSOアプリの新しいウィジェットには、選択した期間におけるorgの各アプリでのユーザーサインインイベント数が表示されます。これを使用すれば、最も頻繁に使用されるアプリを確認し、org全体の認証アクティビティを簡単に監視できます。
システムログのメール失敗イベント
管理者はシステムログでメール配信失敗イベントを表示できるようになりました。これにより、管理者がorg内のメールイベントアクティビティを適切に監視できるようになります。「システムログ」を参照してください。
フェデレーションブローカーモード
新しくなったFederation Broker Modeでは、アプリを特定のユーザーに事前に割り当てることなくOkta SSOが行えるようになります。アクセスは、認証ポリシーと各アプリの認可ルールでのみ管理できます。このモードを使用すると、インポートのパフォーマンスが向上し、大規模なorgで多くのユーザーとアプリを効果的に管理できます。
Office 365サインオンポリシーに追加のフィルターを選択する
管理者がアプリサインオンポリシーを作成するときに、Webブラウザーとモダン認証クライアントを区別できるように、フィルターが追加されました。
ユーザーのインポートのスケジューリング
アプリからOktaにユーザーをインポートするときに、インポートが1時間ごと、毎日、または毎週の間隔で行われるようにスケジュールできるようになりました。Orgにとって都合のよい時間にインポートをスケジュールすると、サービスが中断する可能性が低くなり、手動でインポートを開始する必要がなくなります。アプリで増分インポートが許可されている場合は、完全インポートと増分インポートの両方のスケジュールを作成できます。これはセルフサービスの機能です。
SCIMプロビジョニングのnull値
SCIMプロビジョニングを使用するときに、任意の属性タイプでnull値をOktaに送信できるようになりました。この変更により、顧客が受け取るエラーメッセージが減り、エンドユーザーのID管理が簡素化されます。
デバイス認可の付与タイプ
インターネット技術の進歩により、スマートデバイスやIoT(Internet of Things)が急増しています。ユーザーはこれらのデバイスで実行されるアプリにサインインする必要がありますが、スマートTV、車のコンソール、サーモスタットなどのデバイスではWebブラウザーがサポートされていないか、入力機能が制限されています。そのため、ユーザーはエラーが発生しやすく時間のかかる、安全でない認証ソリューションを利用することになります。
デバイス認可付与機能はOAuth 2.0の付与タイプで、入力に制約のあるデバイスだけでなく、Webブラウザーのないデバイスにもサインインできます。この機能により、ユーザーはノートパソコンや携帯電話などのセカンダリデバイスを使用して、そのようなデバイスで実行されるアプリにサインインすることができます。
LDAP管理者によるパスワードリセット
LDAPと統合されたorgの場合、管理者がアクティブな個々のエンドユーザーのパスワードをリセットできるようになりました。「ユーザーパスワードをリセットする」を参照してください。
LDAPパスワードリセットオプション
LDAP委任認証設定で、ユーザー自身によるパスワードリセットの構成が可能になりました。この変更により、パスワード管理に必要な時間が短縮され、ユーザーがパスワードをすばやく簡単にリセットできるようになります。「LDAPの委任認証を有効にする」を参照してください。
Windows デバイス登録タスクバージョン 1.4.1
このリリースでは、以下の問題が修正されました。
- sAMAccountNameにスペースが含まれている場合、Oktaデバイス登録タスクのインストール時にエラーが表示され、インストールは完了しても機能しませんでした。
- Oktaデバイス登録MSIファイルをダブルクリックすると、「不明な発行者」という警告が表示されました。
影響を受けるお客様は、登録タスクをアンインストールしてから、1.4.1以降をインストールする必要があります。「 マネージドWindowsコンピューターにOkta Device Trustを強制適用する」・「Okta Device Trust for Windows Desktop Registration Taskのバージョン履歴」を参照してください。
CSVの増分インポート
増分インポートでは、前回のインポート以降に作成、更新、または削除されたユーザーのみをインポートするため、パフォーマンスが向上します。「CSVディレクトリ統合を管理する」を参照してください。この機能は、以前に2020.09.0の本番環境でリリースされており、再リリースとなっていることに注意してください。
Password changed notification email(パスワードの変更に関する通知メール)
不必要なメール通知を排除するために、[Password changed notification email(パスワードの変更に関する通知メール)]設定は、新しいプレビューorgではデフォルトで有効ではなくなりました。「エンドユーザーへのパスワードの変更通知」を参照してください。
Office 365サイレントアクティベーション
OktaをIDプロバイダーとして使用すると、Okta Office 365サイレントアクティベーションにより、ドメイン参加共有ワークステーションまたはVDI環境でOffice 365アプリにアクセスするMicrosoft Office 365エンドユーザーにシームレスなエクスペリエンスが提供されます。エンドユーザーがドメイン参加Windowsマシンにログインすれば、それ以上のアクティベーション手順は必要ありません。「Office 365サイレントアクティベーション:新しいリリースの実装」を参照してください。
ローカライズされたエンドユーザーようこそメール
ユーザーのデフォルトのlocaleプロパティを参照することにより、Oktaが新しいエンドユーザーに送信するようこそ
メールをローカライズする機能が一般利用可能になりました。「一般的なカスタマイズ設定を構成する」を参照してください。
[People(ユーザー)]ページの改善
ユーザーページをユーザータイプでフィルタリングできるようになりました。「Okta Universal Directoryカスタムユーザータイプに関する既知の問題」を参照してください。
UI要素の変更
プロビジョニングページ(一般設定)のドロップダウンメニューが標準化されています。「アプリのプロビジョニング」を参照してください。
早期アクセス機能の自動登録
すべての早期アクセス機能で、利用可能になったときに有効にする代わりに、自動登録を選択できるようになりました。
LDAPインターフェイスを使用してアプリをOktaに接続する
LDAPインターフェイスを使用すると、クラウドのUniversal Directoryに対してレガシーLDAPアプリを認証できます。LDAPインターフェイスを使用すると、オンプレミスのLDAPサーバーを必要とせずに、LDAPを介してOktaに対して直接認証が行われます。さらに、LDAPインターフェイスは検索などの他のLDAP機能もサポートしています。