Notes de version Okta Identity Engine (aperçu)

Disponibilité générale

Version : 2026.06.0

Durée de connexion configurable pour l'interface LDAP avec prise en charge d'OIDC

L'interface LDAP inclut désormais un paramètre configurable permettant de définir la durée de vie maximale d'une connexion lors de l'utilisation du flux OpenID Connect (OIDC). Cela permet aux administrateurs de définir une durée de validité des connexions pouvant aller jusqu'à 90 jours et dissocie l'expiration des connexions de la politique de session globale.

Augmentation du nombre maximum d'IdP dans une règle de routage IdP

Le nombre maximum d'IdP autorisés dans une règle de routage IdP a été porté à 100. Consultez Configurer les règles de routage du fournisseur d'identité.

Importer des agents IA depuis Antropic Claude

Vous pouvez désormais importer et gérer directement dans Anthropic Claude les agents IA créés avec Claude Managed Agents. Reportez-vous à Importations d'agents d'IA.

Importer des agents IA depuis DataRobot

Vous pouvez désormais importer et gérer directement dans DataRobot des agents IA créés avec DataRobot Agent Workforce Platform. Reportez-vous à Importations d'agents d'IA.

Ajout des détails de connexion suspecte à la détection des risques pour l'entité

Dans les détections Suspicious Login From An IP Flagged By FastPass, le champ Motif renseigne désormais l'external_session_id de la connexion suspecte.

Amélioration des messages d'erreur liés aux zones du réseau

Le message d'erreur qui s'affiche lorsque les administrateurs tentent de supprimer une zone du réseau référencée par plusieurs politiques ou règles est désormais plus compréhensible.

Effacer les données de navigation des profils Chrome gérés

La fonction Effacer les données de navigation des profils Chrome gérés permet de corriger les problèmes en temps réel en supprimant instantanément les données de session locales (cookies et cache) au sein des profils Chrome gérés dès la détection d'un ITP. En transformant le navigateur en espace de travail soumis à des politiques, cette fonction garantit une protection immédiate et automatisée. Consultez Effacer les données de navigation des profils Chrome gérés.

Groupes en mode push attribuables à des rôles pour Office 365

Lorsque vous créez un nouveau groupe en mode push pour l'intégration d'app Office 365, cochez la case Ce rôle est-il attribuable ? afin de rendre le rôle de groupe attribuable à des rôles dans Microsoft Entra ID. Vous pouvez ainsi envoyer des groupes vers Microsoft Entra ID and assign roles, sans avoir à créer manuellement des groupes dans Entra ID puis à les associer à Okta à l'aide de groupes en mode push. Consultez Configurer un groupe en mode push.

Amélioration de la présentation des détails des demandes

La page des détails des demandes bénéficie désormais d'une présentation optimisée pour les petits écrans afin d'en améliorer la lisibilité.

Accès anticipé

OAuth 2.0 SAP SuccessFactors avec assertion SAML

L'intégration d'app SAP SuccessFactors prend désormais en charge OAuth 2.0 avec assertion SAML afin de renforcer la sécurité des API. Pour garantir la continuité de vos processus d'approvisionnement et de synchronisation sans interruption, vous devez migrer vers cette nouvelle méthode d'authentification avant la suppression de l'authentification de base de SAP, prévue le 20 novembre 2026. Consultez Configurer OAuth 2.0 avec SAML pour SAP SuccessFactors.

Nouveaux événements du System Log pour les intégrations de base de données à accès privilégié

Deux nouveaux événements du System Log, pam.integration.create et pam.integration.delete, sont désormais disponibles pour la gestion des bases de données dans Okta Privileged Access. Cette amélioration permet aux administrateurs de suivre la création ou la suppression des intégrations de base de données. Consulter System Log.

Correctifs

  • Le bouton Recevoir un e-mail sur l'écran de vérification de l'e-mail du Sign-In Widget (troisième génération) était tronqué dans les traductions en ukrainien. (OKTA-1016906)

  • Les intégrations d'apps ne renseignaient pas les identifiants utilisateur pour les sous-domaines utilisant le point de terminaison /auth/v3/signin, empêchant les utilisateurs de se connecter à l'app. (OKTA-1074055)

  • Dans les orgs utilisant un domaine personnalisé, les utilisateurs étaient redirigés vers un domaine non personnalisé après s'être déconnectés de la page Mes paramètres. (OKTA-1139970)

  • L'icône permettant d'afficher ou de masquer le mot de passe sur le Sign-In Widget (troisième génération) ne comportait pas de texte alternatif. (OKTA-1156653)

  • Les tentatives de désactivation et de suppression d'un appareil échouaient et renvoyaient une erreur 404 Not Found: Resource not found. (OKTA-1160266)

  • L'image du lien d'aide sur le Sign-In Widget (troisième génération) ne comportait pas de texte alternatif. (OKTA-1164533)

  • Le séparateur « OR » du Sign-In Widget (troisième génération) n'était pas lu par les lecteurs d'écran. (OKTA-1164534)

  • Les expressions du Okta Expression Language avec des attributs de tableau ne se comportaient pas toujours comme prévu. (OKTA-1166566)

  • Les tentatives de connexion provenant de la zone d'adresses IP exemptées ou de proxys de confiance étaient évaluées à tort comme présentant un risque élevé, avec pour motif « Proxy anonyme ». (OKTA-1168827)

  • Après la mise à niveau d'une org multimarque vers Okta Identity Engine, les paramètres de redirection de marque personnalisés n'étaient pas migrés et l'utilisateur final était dirigé de manière incorrecte vers le tableau de bord de l'utilisateur final. (OKTA-1174572)

  • L'événement application.lifecycle.update du System Log ne renseignant pas le champ changeDetails lorsque les administrateurs mettaient à jour les paramètres de l'app Active Directory. (OKTA-1178325)

  • Les règles de politique de connexion à l'application RADIUS ne contenaient pas la condition relative à la plateforme Linux. (OKTA-1184034)

Okta Integration Network

  • Iden (service d'API) dispose désormais d'une nouvelle permission.

  • Fleetclear (OIDC) est désormais disponible. En savoir plus.

  • Les services de sauvegarde Dell PowerProtect (service d'API) sont désormais disponibles. En savoir plus.

  • Kirin (SAML) est désormais disponible. En savoir plus.

Fonctionnalités des Preview Org

Protection anti-robots

La protection anti-robots permet aux organisations d'identifier et de limiter automatiquement le trafic des robots en configurant des actions de remédiation dans la page d'arrivée d'Identity Threat Protection (ITP). Consulter Protection anti-robots.

Importations de groupes DirSync pour Active Directory

Pour les intégrations Active Directory (AD), l'onglet Approvisionnement propose désormais une case à cocher Activer les importations avec AD à l'aide de DirSync. Lorsque vous activez cette case à cocher, les administrateurs peuvent effectuer des importations de groupes incrémentielles à l'aide de DirSync. Reportez-vous à Configurer l'importation Active Directory et les paramètres du compte.

Workday prend en charge les importations incrémentielles

Workday peut maintenant exécuter des importations immédiates et incrémentielles. Les importations incrémentielles sont beaucoup plus rapides que les importations complètes. Toutefois, ils ne détectent pas le cas où les utilisateurs n’ont que des modifications d’attributs personnalisés ; vous devez donc exécuter périodiquement une importation complète pour prendre en compte ces changements. Consultez Importations incrémentielles.

Inscription sur le même appareil pour Okta FastPass

Pour les organisations utilisant Okta FastPass, le processus d'inscription à Okta Verify a été simplifié :

  • Les utilisateurs peuvent initier et terminer l'inscription sur l'appareil qu'ils utilisent. Auparavant, deux appareils différents étaient nécessaires pour configurer un compte.
  • Les utilisateurs ne doivent plus saisir l'URL de leur org lors de l'inscription.
  • Le flux d'inscription comporte moins d'étapes. Cette fonctionnalité est prise en charge sur les appareils Android, iOS et macOS.
Empêcher les nouveaux accès à facteur unique à l'Admin Console

Cette fonctionnalité empêche les administrateurs de configurer tout nouvel accès à facteur unique à l'Admin Console. Cette fonctionnalité n'est disponible que pour les nouvelles organisations.

Politique de droits d'application

Les administrateurs peuvent désormais remplacer le mappage des attributs lors de l'affectation des applications aux individus ou aux groupes. Les attributs peuvent également être ramenés à leurs mappages par défaut. Reportez-vous à Remplacer le mappage des attributs de l’application. Cette fonctionnalité sera progressivement mise à la disposition de toutes les organisations.

Accès direct aux paramètres de l'utilisateur final

Les utilisateurs peuvent désormais accéder à leur page Paramètres par le biais d'une URL directe en plus du tableau de bord de l'utilisateur final. Cette fonctionnalité offre commodité et sécurité aux utilisateurs, donne aux administrateurs une plus grande flexibilité lorsqu'ils travaillent avec des scénarios de contrôle d'accès au tableau de bord de l'utilisateur final, et inclut des améliorations en matière d'accessibilité et d'expérience utilisateur. Consultez Paramètres de l'utilisateur final.

Paramètre de l'utilisateur final pour les facteurs de surnom

Les utilisateurs finaux peuvent maintenant surnommer leurs facteurs téléphone, WebAuthn et Okta Verify. S'ils ont inscrit plusieurs instances d'un facteur, donner des surnoms les aide à identifier les facteurs rapidement (par exemple, « Mon téléphone portable personnel » ou « Mon bureau MacBook Touch ID »). Consultez la documentation de l'utilisateur final. Il s'agit d'une fonctionnalité en libre-service.

Événements descriptifs du journal système

Lorsqu’Okta identifie une menace de sécurité, l’entrée security.threat.detected du System Log fournit désormais un motif explicite pour l’événement. Reportez-vous à Le Journal système ;.

Nouveau LDAP flexible

Un nouveau schéma LDAP offre de la flexibilité en déplaçant l'e-mail vers le schéma personnalisé et en rendant le prénom, le nom de famille, le nom d'utilisateur et l'UID facultatifs. Cela permet d'éviter les scénarios erronés lorsqu'un schéma LDAP n'inclut pas d'attributs spécifiques.

Couverture de ThreatInsight sur les points de terminaison API Okta de base

La couverture Okta ThreatInsight est désormais disponible pour les points de terminaison API Okta de base :

Sur la base d’heuristiques et de modèles d’apprentissage automatique, Okta ThreatInsight maintient une liste évolutive d’adresses IP manifestant de façon récurrente une activité malveillante sur la base des clients d’Okta. Les requêtes provenant de ces adresses IP malveillantes peuvent être bloquées ou soumises à une analyse plus poussée lorsque Okta ThreatInsight est activé pour une org Okta. Auparavant, la couverture d’Okta ThreatInsight ne s’appliquait qu’aux points de terminaison d’authentification Okta (y compris les points de terminaison d’enrôlement et de récupération). Avec cette version, des schémas d’attaque enrichis sont détectés pour les points de terminaison d’authentification et des schémas d’attaque limités le sont également pour les points de terminaison hors authentification. Il n'y a aucune modification au niveau de la configuration existante d'Okta ThreatInsight. Vous pouvez toujours activer Okta ThreatInsight en mode journalisation et blocage, en mode journalisation uniquement et avec des zones réseau exemptées. Un nouveau motif Negative IP Reputation est disponible pour les événements security.threat.detected élevés. Reportez-vous à Événements du Journal système pour Okta ThreatInsight.

Widget du tableau de bord des apps SSO

Le nouveau widget des apps SSO affiche le nombre d'événements de connexion utilisateur pour l'ensemble des apps de votre org sur une période sélectionnée. Cela vous permet de visualiser les apps les plus fréquemment utilisées, et de surveiller facilement l'activité d'authentification dans votre org.

Amélioration du processus de déverrouillage en libre-service

Les versions précédentes du processus de déverrouillage en libre-service manquaient de fluidité au niveau de l'expérience de l'utilisateur final. La nouvelle fonctionnalité optimisée de ce processus de déverrouillage inclut un lien magique qui simplifie l'expérience pour les adresses e-mail dont les mots de passe ont été réinitialisés. Les utilisateurs n'ont plus besoin de donner leur accord lorsqu'ils utilisent le même navigateur. En outre, après avoir réussi à déverrouiller leur compte, s'ils cliquent sur le lien magique reçu par e-mail, cela est pris en compte par la stratégie de garantie de l'application. Une fois que les exigences de garantie sont remplies, l'utilisateur est directement connecté à l'application.

Améliorations apportées à l'expérience d'enregistrement en libre-service

Les versions précédentes du processus d'enregistrement en libre-service nécessitaient un ensemble complexe de modèles pour envoyer des e-mails d'activation aux utilisateurs finaux. Le processus simplifié ne compte plus que deux modèles d'e-mails comprenant des messages de bienvenue personnalisés. Si votre application exige une vérification immédiate de l'adresse e-mail de l'utilisateur final, Okta utilise le modèle Enregistrement - Activation. Ce modèle inclut un lien magique permettant une expérience de connexion plus fluide. Si la vérification de l'adresse e-mail n'est pas immédiatement requise pour se connecter à l'application, Okta utilise le modèle Enregistrement - Vérification de l'adresse e-mail. Ce modèle inclut un lien permettant aux utilisateurs finaux de terminer la vérification de l’adresse e-mail à tout moment après s’être connectés à l’application.

Type de consentement de la fonctionnalité Autorisation d'appareil

Les avancées dans la technologie Internet ont vu l'explosion des appareils connectés et de l'Internet des objets. Les consommateurs doivent se connecter aux applications exécutées sur ces appareils. Cependant, ces derniers sont parfois dépourvus de navigateur Web ou limités en matière de saisie, comme les téléviseurs connectés, les consoles de voiture et les thermostats. Par conséquent, les utilisateurs ont recours à des solutions d'authentification non sécurisées, qui sont sujettes à erreur et leur font perdre du temps.

La fonctionnalité Autorisation d'appareil est un consentement de type OAuth 2.0 qui permet aux utilisateurs de se connecter aux appareils sur lesquels la saisie est limitée, ainsi qu'à ceux dépourvus de navigateur Web. Cette fonctionnalité permet aux utilisateurs d'utiliser un appareil secondaire, comme un ordinateur portable ou un téléphone mobile, pour se connecter aux applications exécutées sur ce type d'appareils.