Notes de version Okta Identity Engine (accès anticipé)

Fonctionnalités en accès anticipé

Rediriger les utilisateurs fédéré vers les fournisseurs d'identité pour la réauthentification

La réauthentification auprès d'un IdP aide les administrateurs Okta à sécuriser les identités fédérées en redirigeant les utilisateurs fédérés vers leur IdP SAML, OIDC ou Org2Org source lorsqu'une stratégie exige leur réauthentification. En forçant la réauthentification au niveau de l'IdP source, les administrateurs peuvent combler les lacunes de sécurité provenant des sessions de longue durée et supprimer le besoin de configurer une inscription MFA en double dans Okta. Reportez-vous à Rediriger les utilisateurs fédérés vers les IDP pour la réauthentification.

Gestion de l'enrôlement automatique par e-mail et gestion de la récupération

Les administrateurs peuvent contrôler l‘enrôlement automatique par e-mail en tant qu‘authentificateur et configurer la récupération du mot de passe, le déverrouillage et le changement en fonction de l‘e-mail lorsque l‘e-mail n‘est pas un authentificateur. Reportez-vous à Faire de l'e-mail un authentificateur facultatif.

Révocation globale des jetons pour les IdP tiers et Org2Org

Okta prend désormais en charge la révocation globale des jetons (GTR) pour les IdP tiers et Org2Org . Cette fonctionnalité permet aux IdP tiers de déclencher Universal Logout en toute sécurité, et de révoquer instantanément l'ensemble des jetons et sessions utilisateur dans l'ensemble de votre inventaire d'app. Reportez-vous à Configurer Universal Logout pour les apps prises en charge.

Gestion de l'assurance des apps pour Android

La nouvelle condition Restriction de profil d'appareil dans les politiques d'assurance d'appareil garantit que les utilisateurs Android ne peuvent accéder aux applications protégées qu'à partir du même profil professionnel géré pour lequel Okta Verify est installé. Cette condition empêche l'accès à partir de profils personnels, ce qui réduit le risque de fuites de données et améliore la posture de sécurité. Reportez-vous à Ajouter une politique de garantie des appareils.

Prise en charge IBM Db2 LUW pour On-premises Connector for Generic Databases

Le connecteur On-premises Connector for Generic Databases prend désormais en charge IBM Db2 LUW. Cela permet aux administrateurs de gérer les utilisateurs et les droits d'accès dans des environnements IBM Db2 LUW. Reportez-vous à On-premises Connector for Generic Databases.

Okta for AI Agents est disponible en libre-service en accès anticipé

Les orgs abonnés à Okta for AI Agents peuvent désormais activer le produit depuis la page Fonctionnalités. Vous pouvez utiliser Okta for AI Agents pour enregistrer, sécuriser et gérer les identités des agents IA directement dans Okta. Reportez-vous à Okta pour les agents IA.

Intégration du mot de passe de SSO de la plateforme avec la SSO liée à l'appareil.

La méthode d'authentification mot de passe SSO de la palteforme s'intègre désormais avec la SSO lié à l'appareil. Lorsqu'un utilisateur se connecte à la fenêtre de connexion macOS, Okta vérifie le facteur du mot de passe et crée une session liée à l'appareil. Les utilisateurs peuvent alors accéder aux applications protégées par Okta dans leur navigateur sans invite de mot de passe supplémentaire. Consultez SSO sur la plateforme pour macOS et Configurer les profils de configuration des appareil pour PSSO à l'aide d'un MDM générique.

Prise en charge des clés Secure Enclave pour la SSO de plateforme

La SSO de plateforme prend désormais en charge une méthode authentification basée sur clé Secure Enclave qui s'intègre à la SSO liée à l'appareil. Lorsqu'un utilisateur s'authentifie au niveau de la fenêtre de connexion macOS à l'aide de son mot de passe, l'authentification déverrouille une clé cryptographique liée au matériel stockée dans Secure Enclave. Okta utilise cette clé pour crée une session liée à l'appareil qui satisfait à toute politique d'authentification nécessitant FastPass avec vérification de l'utilisateur, sans répéter les invites de MFA. Consultez SSO sur la plateforme pour macOS et Configurer les profils de configuration des appareils pour Enclave sécurisée à l‘aide d‘un MDM générique.

Amélioration des importations basées sur DirSync

Optimisez les performances des importations basées sur AD DirSync en évitant les vérifications préalables inutiles et en téléchargeant les unités organisationnelles sans utiliser DirSync.

Prise en charge d'OAuth 2.0 pour les fournisseurs de messagerie personnalisés

Vous pouvez désormais configurer des fournisseurs de messagerie personnalisés avec l'authentification OAuth 2.0. Vous pouvez choisir entre deux configurations de client OAuth 2.0 pour la récupération des jetons d'accès et utiliser ces jetons d'accès pour vous authentifier auprès du serveur SMTP de votre fournisseur de messagerie. Reportez-vous à Utiliser votre propre fournisseur de messagerie.

Rapport d'activité d'authentification

Le rapport d'activité d'authentification fournit des informations détaillées sur authentification, y compris l'utilisation Okta FastPass, en complément du rapport Activité MFA. Vous pouvez afficher l'activité filtrée par type d'appareil (Android, iOS, macOS, Windows), état de gestion (géré, non géré), l'état de l'enregistrement (enregistré, non enregistré) et la méthode de vérification (TOTP, Push, Okta FastPass). Reportez-vous à Rapport d'activité d'authentification.

Détecter et découvrir les agents IA

Utilisez le plug-in de navigateur Security Access Monitor et Identity Security Posture Management d'Okta (ISPM) pour obtenir une visibilité sur les nouvelles autorisations OAuth aux applications et l'utilisation des agents IA non approuvés qui en résulte pour votre organisation. Le plug-in surveille les navigateurs gérés pour toute nouvelle autorisation OAuth aux applications et agents IA. ISPM capture la télémétrie des autorisations OAuth, analyse les données et vous offre la visibilité dont vous avez besoin pour identifier chaque application tierce que vos utilisateurs autorisent. Cela vous aide à atténuer les risques liés aux autorisations OAuth et agents IA non approuvés. Après avoir configuré le plug-in, vous pouvez trouver toutes les nouvelles autorisations OAuth dans votre org en accédant à la page NHI et agents d'IA > Autorisations OAuth dans la console ISPM. Reportez-vous à Découvrez et évaluez les agents IA.

Okta FastPass utilisant l'extension SSO prend désormais en charge Chrome sur macOS

Vous pouvez maintenant activer l'option Prise en charge de l'extension d'authentification SSO pour Chrome sur macOS pour prendre en charge l'utilisation de l'extension SSO sur Chrome 146 ou une version ultérieure. Cela garantit une authentification transparente pour les utilisateurs sur les dernières versions de navigateur sous macOS.

Okta fait office de fournisseur d'identité de secours

Cette fonctionnalité redirige les utilisateurs vers Okta pour qu'ils s'authentifient si le fournisseur d'identité principal ne peut pas établir leur identité. Cela peut survenir en raison de rejets explicites, comme des identifiants non valides et des échecs MFA, ou si une session utilisateur existante ne peut pas être vérifiée en mode silencieux, par exemple lors d'une requête prompt=none OIDC ou d'une requête SAMLIsPassive=true. Reportez-vous à Configurer les règles de routage du fournisseur d’identité.

Connecteur sur site pour les bases de données génériques

Le nouveau On-premises Connector for Generic Databases permet aux administrateurs de gérer les utilisateurs et les droits dans les bases de données locales en utilisant Okta On-Prem SCIM Server. Ce connecteur prend en charge Oracle, MySQL, PostgreSQL et Microsoft SQL Server. Il permet aux organisations d'appliquer des fonctionnalités de gouvernance telles que Access Requests, Certifications, Lifecycle Management et Entitlement Management à leurs environnements de bases de données. Reportez-vous à On-premises Connector for Generic Databases.

Protection des identifiants compromis

Protégez votre org contre les identifiants compromis. Si Okta détermine qu'une combinaison nom d'utilisateur/mot de passe a été compromise après avoir été comparée à un ensemble de données conservé par un tiers, la réponse de protection est personnalisable grâce à des politiques de mot de passe, dont la réinitialisation du mot de passe de l'utilisateur, la force d'une déconnexion ou l'appel d'un Workflow délégué. Reportez-vous à Protection des identifiants compromis.

La protection contre les violations des informations d'identification est désormais disponible pour les clients fédérés.

Natif vers SSO Web

Natif vers SSO Web crée une expérience d'authentification fluide et unifiée lorsqu'un utilisateur passe d'une app OIDC (comme une app native ou Web) à une app Web (soit OIDC, soit SAML). Cette fonctionnalité utilise des protocoles de fédération standard basés sur le Web comme SAML et OpenID Connect qui permettent de combler le lien entre deux environnements application différents, en utilisant un jeton SSO de confiance interclient unidirectionnel à usage unique. Cela élimine la répétition des assurances de connexion déjà fournies et simplifie le développement en réduisant la complexité de authentification . Reportez-vous à Configurer Natif vers Web SSO.

Les conditions dans la politique Okta Account Management

Avec cette fonctionnalité, les administrateurs peuvent désormais restreindre les activités de gestion des comptes, telles que la réinitialisation du mot de passe en libre-service ou les inscriptions de nouveaux authentificateurs avec des conditions d'appareil. Les administrateurs peuvent configurer les règles de politiques de Okta Account Management avec les appareils enregistrés et gérés, ou exiger que les appareils répondent aux exigences d'une politique d'assurance d'appareil. Reportez-vous à Ajouter une règle pour l'enrôlement de votre premier authentificateur résistant à l'hameçonnage.

La Governance des Workflows est désormais disponible en Accès anticipé (EA)

Vous pouvez désormais utiliser Okta Identity Governance pour gérer l'accès aux rôles Workflows . Cela vous aide à vous assurer que l'accès à Workflows est accordé de manière cohérente et en conformité avec les exigences de votre entreprise. Voir Governance des Workflows.

Exigences en matière de complexité des mots de passe

Okta vous permet maintenant de limiter le nombre de caractères répétitifs consécutifs que les utilisateurs peuvent insérer dans leur mot de passe. Les exigences en matière de complexité des mots de passe sont désormais également appliquées aux utilisateurs provenant d'Active Directory et de LDAP. Cette modification renforce la sécurité de votre org en élargissant les options de complexité des mots de passe et en appliquant cette protection à davantage de types de profils utilisateur. Reportez-vous à Configurer l'authentificateur Mot de passe.

Amélioration de la protection des identifiants compromis

Cette fonctionnalité fournit un flux de détection d'identifiants compromis de haute qualité pour les clients Okta Customer Identity (OCI) avec Identity Threat Protection, qui identifie plus vite les identifiants compromis. Reportez-vous à Protection des identifiants compromis.

Nouveaux événements System Log pour les connexions Cross App Access

Les événements suivants sont déclenchés lorsque vous créez, supprimez ou mettez à jour une connexion Cross App Access :

app.cross_app_access.connection.create
app.cross_app_access.connection.delete
app.cross_app_access.connection.update

Récupération de l'authentification Desktop MFA pour Windows

Cette version améliore la fonctionnalité Desktop MFA sur Windows pour inclure un chemin de récupération assisté par l'administrateur. Si un utilisateur est verrouillé sur son appareil Windows, un administrateur peut désormais émettre un code PIN de récupération à durée limitée. Cela permet à l'utilisateur d'accéder temporairement à son ordinateur sans avoir besoin de son appareil MFA principal, ce qui lui permet de résoudre son problème d'Authenticator et de se connecter avec succès. Reportez-vous à Activer la récupération de Desktop MFA pour Windows.

Plusieurs certificats de signature d'IdP actifs

Okta prend désormais en charge plusieurs certificats de signature actifs pour un seul fournisseur d'identité (IdP) SAML, permettant une rotation des certificats transparente, sans temps mort. Les administrateurs peuvent charger jusqu'à deux certificats par connexion IdP. Cette amélioration élimine le besoin d'échanges étroitement coordonnés avec les partenaires de l'IdP et réduit le risque d'échecs d'authentification dûs à des certificats expirés. Cette fonctionnalité est disponible pour l'Admin Console et l'API IdP Certificates.

Politique de collecte des signaux d'appareils

Avec la nouvelle politique de collecte des signaux d'appareils, les administrateurs peuvent remplacer le comportement par défaut d'Okta et spécifier la manière dont Okta doit collecter les données des appareils, qui sont ensuite utilisées pour évaluer les politiques d'authentification. Reportez-vous à Créer des règles de collecte de signaux d'appareil.

Chiffrement Web JSON des jetons d'ID OIDC

Vous pouvez désormais chiffrer les jetons d'ID OIDC pour les intégrations d'app personnalisées protégées par Okta à l'aide du chiffrement Web JSON. Reportez-vous à Chiffrer les jetons d'identifiant OIDC pour les intégrations d'application.

Exporter les rapports Okta Identity Governance au format PDF

Vous pouvez désormais exporter les rapports Okta Identity Governance au format PDF. Lors de l'exportation, vous pouvez également sélectionner des colonnes spécifiques à inclure dans le rapport.

Remédiation de l'utilisateur final pour l'attestation de gestion

Cette amélioration améliore la remédiation des erreurs personnalisée d'Okta en l'étendant à l'attestation de gestion sur toutes les plateformes OS. Les administrateurs peuvent désormais créer des messages de remédiation spécifiques pour les appareils qui échouent à un contrôle de gestion (par exemple, leur appareil n'est pas géré par MDM). Les utilisateurs reçoivent des instructions de correction claires et exploitables au cours du flux de connexion et peuvent résoudre les problèmes de manière indépendante. Cela se traduit par une réduction du nombre de tickets de support informatique, un accès sécurisé plus rapide et une meilleure expérience utilisateur. Reportez-vous à Messages de correction pour l'assurance des appareils.

Appliquer la MFA pour les applications d'administrateur de Gouvernance de l'identité

La fonctionnalité Appliquer la MFA pour les applications d'administrateur Identity Governance n'est plus disponible en tant que fonctionnalité en accès anticipé en libre-service. Les administrateurs doivent contacter le soutien Okta pour activer ou désactiver cette fonctionnalité. Reportez-vous à Activer la MFA pour la console d’administration.

Déplacements OU pour les utilisateurs approvisionnés par LDAP

Lorsqu'un administrateur configure Okta avec les paramètres d'approvisionnement LDAP, il peut maintenant déplacer les utilisateurs vers une unité organisationnelle (OU) différente en modifiant leurs affectations de groupe. Reportez-vous à Configurer les paramètres d'approvisionnement d'Okta à LDAP.

Événement de System Log pour l'émission d'une autorisation d'assertion d'identité (ID-JAG)

L'événement app.oauth2.token.grant.id_jag est généré lorsqu'une app termine un échange de jeton OAuth 2.0 pour obtenir une autorisation d'assertion d'identité (ID-JAG) JWT.

Agent Okta Hyperspace, version 1.5.1

Cette version comprend des améliorations concernant la sécurité.

Connecteur On-Prem pour Oracle EBS

Le connecteur On-prem pour Oracle EBS connecte les applications Oracle EBS locales à Okta Identity Governance. Il aide les administrateurs à découvrir, à afficher et à gérer les droits Oracle EBS directement dans Okta. Cette intégration permet de renforcer la sécurité, de gagner du temps, de rationaliser la Gestion des droits et d'éliminer le besoin en intégrations personnalisées. Consultez Connecteur On-Prem pour Oracle EBS et Droits pris en charge par On-prem Connector.

La déconnexion unique pour les IdP est en accès anticipé dans la prévisualisation

La fonctionnalité de déconnexion unique pour les IdP renforce la sécurité des organisations utilisant des appareils partagés et des IdP externes en mettant automatiquement fin aux sessions des IdP lorsqu'un utilisateur se déconnecte d'une app. Cette fonctionnalité requiert également une nouvelle authentification pour chaque nouvel utilisateur, éliminant ainsi les risques de piratage de session sur les appareils partagés. SLO pour IdP prend en charge les connexions IdP SAML 2.0 et OIDC , ce qui offre une gestion de session robuste pour les postes de travail partagés dans n'importe quel environnement. Reportez-vous à Ajouter un fournisseur d'identité SAML.

Approvisionnement pour Oracle Human Capital Management

L'approvisionnement est désormais disponible pour l'intégration de l'app Oracle Human Capital Management. Lorsque vous approvisionnez l'application, vous pouvez activer des fonctionnalités de sécurité telles que Gestion des droits, Privileged Access, etc. Reportez-vous à Oracle Human Capital Management.

Prise en charge des actions protégées pour les politiques de collecte des signaux d'appareils

Okta demande une authentification supplémentaire lorsque les administrateurs modifient les politiques de collecte des signaux d'appareils dans l'Admin Console. Les modifications ne sont autorisées qu'après l'authentification réussie de l'administrateur. Cette fonctionnalité renforce la sécurité de l'org en permettant aux administrateurs de demander une MFA avant d'effectuer des actions protégées. Reportez-vous à Actions protégées dans Admin Console.

Protection des identifiants en cas de violation

Cette fonctionnalité fait suite à un lent processus de déploiement qui a commencé le 15 mai.

Rôles d'administrateur personnalisés pour ITP

Grâce à cette fonctionnalité, les clients peuvent utiliser des autorisations et des ressources ITP granulaires pour créer des rôles personnalisés et une autorisation robuste pour la configuration et la surveillance ITP. Reportez-vous à Configurer des rôles administrateur personnalisés pour l'ITP.

RingCentral utilise une nouvelle logique de numéro de téléphone par défaut

La logique de l'intégration d'app RingCentral pour la détection et le remplissage des numéros de téléphone a été mise à jour pour fonctionner avec les entrées DirectNumber et IntegrationNumber.

Événement de System Log pour la surveillance des modifications du fichier de configuration de l'agent LDAP

Un événement system.agent.ldap.config_change_detected est généré lorsqu'un agent LDAP détecte des modifications apportées à son fichier de configuration.

Approvisionnement OAuth 2.0 pour Org2Org avec Autorotation

Les administrateurs qui déploient des architectures multi-organisation (par exemple, les organisations Okta hub-and-spoke) ont besoin de sécuriser l'approvisionnement des utilisateurs et des groupes. L'approvisionnement à l'aide de jetons à permissions OAuth2.0 présente plusieurs avantages par rapport aux jetons d'API, notamment une plus grande granularité des accès, des durées de vie des jetons plus courtes et la rotation automatique des clés. Vous pouvez désormais activer la rotation automatique OAuth 2.0 pour l'approvisionnement d'app Org2Org directement depuis l'Admin Console.

Reportez-vous à Intégrer Okta Org2Org à Okta.

Gérer les comptes Active Directory dans Okta Privileged Access

Cette fonctionnalité permet la gestion des mots de passe des comptes Active Directory (AD) via Okta Privileged Access en utilisant l'agent AD d'Okta. Les administrateurs peuvent définir des règles de découverte pour les comptes dans des unités organisationnelles (UO) spécifiques et créer des politiques pour l'accès des utilisateurs, garantissant ainsi la rotation des mots de passe lors d'une connexion ou selon un planning. Les utilisateurs qui disposent d'un accès peuvent consulter les comptes qui leur ont été affectés et récupérer leur mot de passe. Pour activer cette fonctionnalité, contactez le soutien Okta. Consulter Gérer les comptes Active Directory

Nouveau fournisseur de vérification d'identité ajouté

Okta permet maintenant d'utiliser le certificat CLEAR Verified comme fournisseur d'identité. Cela augmente le nombre de fournisseurs de vérification d'identité (IDV) que vous pouvez utiliser pour vérifier l'identité de vos utilisateurs lorsqu'ils intègrent ou réinitialisent leur compte. Reportez-vous à Ajouter un fournisseur de vérification d'identité préconfiguré.

Rôle d'administrateur personnalisé pour Okta Device Access

Vous pouvez maintenant configurer des rôles d'administrateur personnalisés pour afficher et gérer la fonctionnalité Okta Device Access. Cette amélioration permet aux équipes informatiques de désigner des administrateurs qui peuvent gérer efficacement les capacités Okta Device Access sans leur demander les autorisations de sécurité les plus élevées. Reportez-vous à Activer la récupération Desktop MFA pour macOS.

Nouvel événement de System Log pour la vérification d'identité

L'événement « new utilisateur.identity_verification » affiche le résultat (succès ou échec) des vérifications d'identité avec des fournisseurs d'identité IDV. En cas d'échec, l'événement en indique également la raison.

Protection OAMP pour les flux d'expiration de mot de passe

Cette fonctionnalité améliore le posture de sécurité des organisations client en protégeant le flux d'expiration des mots de passe avec la politique Okta Account Management. Les flux d'expiration des mots de passe requièrent désormais l'assurance définie dans la politique Okta Account Management d'une org. Reportez-vous à Activer l'expiration des mot de passe.

Vérifications de posture avancées d'appareil

Les vérifications de posture avancées fournissent une garantie étendue aux appareils pour les utilisateurs. Ils permettent aux administrateurs d'appliquer la conformité en fonction d'attributs d'appareils personnalisés qui vont au-delà des vérifications standard d'Okta. En utilisant osquery, cette fonctionnalité facilite les évaluations de sécurité en temps réel sur les appareils macOS. Ainsi, les organisations obtiennent une visibilité et un contrôle accrus sur leur flotte d'appareils et s'assurent que seuls les appareils de confiance peuvent accéder aux ressources sensibles. Reportez-vous à Configurer des vérifications de posture avancées pour l'assurance des appareils.

On-prem Connector pour SAP Netweaver ABAP

Le connecteur On-prem pour SAP NetWeaver ABAP fournit une solution prête à l'emploi qui connecte les applications SAP locales à Okta Identity Governance. Il permet la découverte, la visibilité et la Gestion des droits (rôles) SAP directement dans Okta. Cette intégration renforce la sécurité, permet de gagner du temps et simplifie la gouvernance en éliminant le besoin d'intégrations personnalisées et en rationalisant la Gestion des droits.