Notes de version Okta Identity Engine (Production)

Disponibilité générale

Version :  2026.05.00

Entitlement management Workday

Les administrateurs peuvent désormais gérer les droits pour les instances d'app Workday sur Okta. Cette fonctionnalité permet la découverte et la gouvernance des groupes de sécurité basés sur les utilisateurs pour activer les requêtes d'accès et les certifications automatisées.

Rapport sur les exportations

Vous pouvez désormais choisir entre les formats d'exportation CSV et GZIP lors de la génération des rapports suivants :

  • Utilisation d'Okta
  • Utilisation de l'application
  • Utilisation de la MFA
Ajoutez des descriptions aux conditions des requêtes d'accès
Vous pouvez maintenant ajouter des descriptions aux conditions des requêtes d'accès pour les applications, les collections et les lots de rôle administrateur Okta. Ces descriptions apparaissent à côté du nom de la condition dans l'onglet Requêtes d'accès, ce qui vous permet de comprendre plus facilement l'objectif spécifique de chaque condition. Consultez Créer des conditions de requête d'accès.
Sign-In Widget, versions 7.45.0, 7.45.1, 7.45.2

Pour plus d'informations sur ces versions, consultez la section Notes de version du Sign-In Widget. Pour plus d'informations sur le widget, consultez Widget de connexion Okta.

Les connexions gérées sont renommées en connexions aux ressources

Sur les pages Okta for AI Agents et les événements du System Log, les références aux connexions gérées ont été renommées en connexions aux ressources.

Connecteur de serveur de ressources Slack

Vous pouvez utiliser le connecteur de serveur de ressources Slack pour créer une connexion aux ressources entre Slack et un agent IA. Reportez-vous à Configurer les connecteurs de serveur de ressources.

Conserver la session après les modifications du mot de passe de utilisateur

Lorsque des utilisateurs modifient leur mot de passe et sélectionnent Me déconnecter de tous les autres appareils, Okta conserve désormais leur session actuelle après la révocation des autres sessions actives.

Événement de System Log pour les identificateurs non configurés

Lorsque JIT est activé pour Active Directory et qu'un utilisateur s'authentifie avec un identifiant non configuré, l'événement apparaît désormais dans le System Log.

Mises à jour des attributs dynamiques pour authentification par carte intelligente

L'authentification par carte intelligente prend en charge les mises à jour d'attributs en temps réel pendant l'approvisionnement juste-à-temps (JIT). Ainsi, les profils utilisateurs sont maintenus à jour en synchronisant les attributs d'identité directement à partir de la carte PIV/CAC au moment de l'authentification.

Okta pour les agents IA

Vous pouvez désormais enregistrer, sécuriser et gérer les identités des agents IA directement dans Okta. Enregistrez manuellement les agents ou importez-les directement depuis les apps des fournisseurs. Appliquez le principe du moindre privilège aux accès, éliminez les privilèges permanents et utilisez les System Logs pour suivre chaque saut de délégation dans les workflows de vos agents. Les agents IA deviennent des membres responsables de vos équipes numériques et sont soumis aux mêmes normes d'identité que vos utilisateurs humains.

Rapport CSV de l'avancement de la migration AD désormais disponible

Vous pouvez désormais télécharger un rapport CSV pour afficher la migration des mots de passe d'utilisateurs spécifiques. Ce rapport fournit une description détaillée du statut de la migration de chaque utilisateur, par exemple en indiquant si son mot de passe a été migré ou si une erreur spécifique s'est produite. Reportez-vous à Effectuer une migration des mots de passe.

Événement de System Log pour les importations DirSync

Lorsque la compatibilité d'Active Directory Agent est vérifiée pour les importations basées sur DirSync, l'événement apparaît désormais dans le System Log.

Mise à jour des paramètres par défaut pour l'authentificateur Clé d'accès (FIDO2 WebAuthn)

La configuration des authentificateurs WebAuthn passe par défaut à la vérification de l’utilisateur préféré pour toutes les orgs et par défaut aux clés d'accès pour les nouvelles orgs. Ces mises à jour réduisent les opérations de configuration manuelles, garantissent un processus d'enrôlement transparent et fournissent une expérience de connexion plus fiable aux utilisateurs d'appareils hétérogènes.

Ignorer le nombre de périodes de grâce pour les inscriptions d'authentificateurs

Cette fonctionnalité permet aux administrateurs de définir un certain nombre de fois où les utilisateurs finaux peuvent ignorer l'inscription à un authentificateur, ainsi que des personnalisations de l'invite lorsque les utilisateurs finaux voient la période de grâce. Reportez-vous à Politiques d'inscription à l'authentificateur.

Contrôle des versions pour Okta Verify sur Windows

Avec la nouvelle fonctionnalité de contrôle des versions, les administrateurs peuvent configurer s'ils souhaitent autoriser, suspendre ou restreindre les mises à jour automatiques à Okta Verify sous Windows. Cela offre une plus grande flexibilité pour répondre aux exigences de gestion des changements de l'entreprise et pour gérer les déploiements de versions sur les points de terminaison Windows. Reportez-vous à Configurer les contrôles de version Okta Verify.

Changement de nom de la marque pour les clés d'accès

L'authentificateur FIDO2 (WebAuthn) est renommé Clés d'accès (FIDO2 WebAuthn), et Okta met en place des contrôles administratifs améliorés et une expérience utilisateur simplifiée. Cette mise à jour centralise la gestion des clé d'accès au moyen d'une page de paramètres consolidée, permet de personnaliser la dénomination des authentificateurs et introduit un bouton dédié Se connecter avec une clé d'accès dans le Sign-In Widget. Ces améliorations simplifient le processus d'authentification et offrent aux utilisateurs un processus de connexion plus intuitif avec le bouton Connexion avec une clé d'accès. Reportez-vous à Configurer l'authenticator par Clés d'accès (FIDO2 WebAuthn).

Migration des mots de passe utilisateur d'AD vers Okta

Migrez les mots de passe utilisateur d'AD vers Okta en toute transparence, sans interrompre vos utilisateurs ni vos opérations. Okta devient ainsi la source de confiance pour les mots de passe des utilisateurs et peut gérer l'authentification des utilisateurs sans authentification déléguée. Reportez-vous à Migration des mots de passe depuis AD vers Okta.

Détection de proxy résidentiel pour les zones réseau

Cette fonctionnalité ajoute de nouvelles zones associées à des zones du réseau dynamique améliorées au-delà des proxys et VPN anonymes. Les clients peuvent utiliser des catégories de service telles que ZSCALER_PROXY, PERIMETER_8, etc. Reportez-vous à Catégories de services IP pris en charge.

Accès anticipé

Révocation globale des jetons pour les IdP tiers et Org2Org

Okta prend désormais en charge la révocation globale des jetons (GTR) pour les IdP tiers et Org2Org . Cette fonctionnalité permet aux IdP tiers de déclencher Universal Logout en toute sécurité, et de révoquer instantanément l'ensemble des jetons et sessions utilisateur dans l'ensemble de votre inventaire d'app. Reportez-vous à Configurer Universal Logout pour les apps prises en charge.

Rediriger les utilisateurs fédéré vers les fournisseurs d'identité pour la réauthentification

La réauthentification auprès d'un IdP aide les administrateurs Okta à sécuriser les identités fédérées en redirigeant les utilisateurs fédérés vers leur IdP SAML, OIDC ou Org2Org source lorsqu'une stratégie exige leur réauthentification. En forçant la réauthentification au niveau de l'IdP source, les administrateurs peuvent combler les lacunes de sécurité provenant des sessions de longue durée et supprimer le besoin de configurer une inscription MFA en double dans Okta. Reportez-vous à Rediriger les utilisateurs fédérés vers les IDP pour la réauthentification.

Gestion de l'enrôlement automatique par e-mail et gestion de la récupération

Les administrateurs peuvent contrôler l‘enrôlement automatique par e-mail en tant qu‘authentificateur et configurer la récupération du mot de passe, le déverrouillage et le changement en fonction de l‘e-mail lorsque l‘e-mail n‘est pas un authentificateur. Reportez-vous à Faire de l'e-mail un authentificateur facultatif.

Gestion de l'assurance des apps pour Android

La nouvelle condition Restriction de profil d'appareil dans les politiques d'assurance d'appareil garantit que les utilisateurs Android ne peuvent accéder aux applications protégées qu'à partir du même profil professionnel géré pour lequel Okta Verify est installé. Cette condition empêche l'accès à partir de profils personnels, ce qui réduit le risque de fuites de données et améliore la posture de sécurité. Reportez-vous à Ajouter une politique de garantie des appareils.

Intégration du mot de passe de SSO de la plateforme avec la SSO liée à l'appareil.

La méthode d'authentification mot de passe SSO de la palteforme s'intègre désormais avec la SSO lié à l'appareil. Lorsqu'un utilisateur se connecte à la fenêtre de connexion macOS, Okta vérifie le facteur du mot de passe et crée une session liée à l'appareil. Les utilisateurs peuvent alors accéder aux applications protégées par Okta dans leur navigateur sans invite de mot de passe supplémentaire. Consultez SSO sur la plateforme pour macOS et Configurer les profils de configuration des appareil pour PSSO à l'aide d'un MDM générique.

Prise en charge des clés Secure Enclave pour la SSO de plateforme

La SSO de plateforme prend désormais en charge une méthode authentification basée sur clé Secure Enclave qui s'intègre à la SSO liée à l'appareil. Lorsqu'un utilisateur s'authentifie au niveau de la fenêtre de connexion macOS à l'aide de son mot de passe, l'authentification déverrouille une clé cryptographique liée au matériel stockée dans Secure Enclave. Okta utilise cette clé pour crée une session liée à l'appareil qui satisfait à toute politique d'authentification nécessitant FastPass avec vérification de l'utilisateur, sans répéter les invites de MFA. Consultez SSO sur la plateforme pour macOS et Configurer les profils de configuration des appareils pour Enclave sécurisée à l‘aide d‘un MDM générique.

Détecter et découvrir les agents IA

Utilisez le plug-in de navigateur Security Access Monitor et Identity Security Posture Management d'Okta (ISPM) pour obtenir une visibilité sur les nouvelles autorisations OAuth aux applications et l'utilisation des agents IA non approuvés qui en résulte pour votre organisation. Le plug-in surveille les navigateurs gérés pour toute nouvelle autorisation OAuth aux applications et agents IA. ISPM capture la télémétrie des autorisations OAuth, analyse les données et vous offre la visibilité dont vous avez besoin pour identifier chaque application tierce que vos utilisateurs autorisent. Cela vous aide à atténuer les risques liés aux autorisations OAuth et agents IA non approuvés. Après avoir configuré le plug-in, vous pouvez trouver toutes les nouvelles autorisations OAuth dans votre org en accédant à la page NHI et agents d'IA > Autorisations OAuth dans la console ISPM. Reportez-vous à Découvrez et évaluez les agents IA.

Correctifs

  • Après la désactivation d'un agent AD, un format incorrect de la version de l'agent était affiché. (OKTA-1117122)

  • Les messages d'erreur personnalisés ne s'affichaient pas pour les nouveaux utilisateurs lorsqu'ils cliquaient sur Mot de passe oublié. (OKTA-1118986)

  • Certains utilisateurs ne pouvaient pas se connecter si la politique de session globale qui les concernait était supprimée. (OKTA-1131197)

  • L'option Scanner le code QR apparaissait pour les utilisateurs qui avaient besoin uniquement de l'option Utiliser une clé de sécurité. (OKTA-1145766)

  • Après un événement user.session.context.change, certaines règles de session globale et de politique de connexion à l'application configurées avec Dans toute zone du réseau définie dans Okta ne correspondaient pas lors de la réévaluation de la politique ITP. (OKTA-1151868)

  • Le Sign-In Widget affichait une erreur après que les utilisateurs avaient effectué une réinitialisation du mot de passe en libre-service lorsque la politique d’authentification aux apps avait activé l'invite Rester connecté(e). (OKTA-1152243)

  • Les mises à jour des déclaration AMR n'étaient pas appliquées à l'intégration d'app SalesForce (ID fédéré). (OKTA-1164030)

  • Sur la page Affectation de l'administrateur par rôle, le volet Rôle d'aperçu affichait « L10N_ERROR[okta.apps.clientCredentials.read.name.code] » au lieu de l'autorisation Afficher les informations d'identification du client. (OKTA-1166616)

  • Une remédiation manuelle était nécessaire lorsque les réviseurs révoquaient l'accès d'un utilisateur aux groupes sources Active Directory au sein d'une campagne. (OKTA-1167090)

Okta Integration Network

  • Asset Integrity for Pipelines (OIDC) est désormais disponible. En savoir plus.

  • CJ Affiliate (OIDC) est désormais disponible. En savoir plus.

  • Conduit Security (OIDC) est désormais disponible. En savoir plus.

  • Form (OIDC) est maintenant disponible. En savoir plus.

  • Harmony (SAML) est désormais disponible. En savoir plus.

  • Le langage Logy (SCIM) est désormais disponible. En savoir plus.

  • Haystack (SCIM) est désormais disponible. En savoir plus.

  • JumpCloud (OIDC) est désormais disponible. Reportez-vous à JumpCloud.

  • LinkedIn Sales Navigator (SCIM) est maintenant disponible. En savoir plus.

  • Magnite Streamr (OIDC) est désormais disponible. En savoir plus.

  • Matik (SAML) est désormais disponible. En savoir plus.

  • Matik (SCIM) est désormais disponible. En savoir plus.

  • Syndio (OIDC) est désormais disponible. En savoir plus.

  • Tandem Health (OIDC) est désormais disponible. En savoir plus.

  • Ternary (OIDC) est maintenant disponible. En savoir plus.

  • ThoughtSpot (OIDC) est désormais disponible. Reportez-vous à Créer une intégration OIDC ThoughtSpot.

  • TOPdesk Operator by FuseLogic (Gestion des droits) est désormais disponible. En savoir plus.

  • Truepic Vision (OIDC) est désormais disponible. En savoir plus.

  • WideField Security - Detect and Remediate (intégration d'API) est désormais disponible. En savoir plus.

  • YipitData Agent (OIDC) is now available. En savoir plus.

  • Yunu (OIDC) est désormais disponible. En savoir plus.

  • Console (Service API ) a une nouvelle icône et une nouvelle description.

  • Console (OIDC) a une nouvelle description d'app.

  • Sastrufy a un nouveau nom d'app et un nouveau guide de configuration.

  • Software Analytics (OIDC) a un nouveau nom d'app (Antenne), une nouvelle icône, une nouvelle description, de nouveaux URI de redirection et un nouveau guide d'intégration. En savoir plus.

  • Suger (OIDC) a un nouvel URI de redirection.

  • Matik (Basic Auth) a été mis a jour.

  • Metlife MyBenefits (SWA) a été mis à jour.

  • TOPdesk Operator by FuseLogic (SCIM) a été mis à jour.

2026.05.1 : mise à jour 1 déployée à partir du 18 mai

Correctifs

  • Lorsqu‘un événement d‘échec ou de révocation d‘un jeton d‘actualisation était enregistré dans le System Log, une version incomplète du hachage du jeton d‘actualisation apparaissait dans le target.detailEntryde l‘événement. (OKTA-1145851)

  • L'API Répertorier tous les mappages de profil renvoyait parfois une erreur si la requête ne comprenait pas les paramètres sourceId ou targetID. (OKTA-1153229)

  • Dans l‘Admin Console, les liens vers les sites de statut pour certaines cellules pointaient vers une page de statut incorrecte. (OKTA-1158204)

  • L‘autorisation Gérer les crochets d‘événement ne permettait pas à un administrateur ou à une application de service de créer un crochet d‘événement. (OKTA-1162004)

  • Sur la page Activité récente dans Mes paramètres, les annonces du lecteur d‘écran ne correspondaient pas au texte statique pour les événements de sécurité. (OKTA-1164456)

  • Lorsqu‘une erreur d‘authentification se produisait, le Sign-In Widget affichait un message d‘erreur SQL au lieu d‘un message utile. (OKTA-1168939)

  • Lorsqu‘un administrateur consultait le volet Aperçu pour les rôles d‘administrateur personnalisés, certaines étiquettes pour les autorisations d‘identité s‘affichaient de manière incorrecte. (OKTA-1168945)

  • Les administrateurs disposant de la permission Gérer les serveurs MCP tiers ne pouvaient pas modifier les serveurs MCP de leur org. (OKTA-1173945)

Okta Integration Network

  • Le code d‘extension (OIDC) a été mis à jour.

  • Butterfly Security (OIDC) est désormais disponible. En savoir plus.

  • Butterfly Security (SCIM) est désormais disponible. En savoir plus.

  • Check Point SASE (SCIM) a été mis à jour avec de nouvelles régions.

  • Cimento AI (SCIM) est maintenant disponible. En savoir plus.

  • Cimento AI (SAML) est maintenant disponible. En savoir plus.

  • Common Room (SCIM) prend maintenant en charge le push de groupe.

  • Dokio (SCIM) a une nouvelle API et un nouveau guide de configuration.

  • Harmony SASE (SAML) a une nouvelle icône, un nouveau nom d‘affichage et une nouvelle description. En savoir plus.

  • Redblock AI (SAML) est maintenant disponible. En savoir plus.

  • Rubrik Security Cloud prend désormais en charge les portées suivantes :

    • okta.authorizationServers.manage
    • okta.authorizationServers.read
    • okta.idps.manage
    • okta.idps.read
    • okta.networkZones.manage
    • okta.networkZones.read

  • Scribble Maps (OIDC) est maintenant disponible. En savoir plus.

  • Scribble Maps (SAML) est maintenant disponible. En savoir plus.

  • Scribble Maps (SCIM) est maintenant disponible. En savoir plus.

  • Stripe a un nouveau guide de configuration. En savoir plus.

  • Stripe (SCIM) est maintenant disponible. En savoir plus.

  • Wrike (SCIM) prend maintenant en charge le push de groupe.

2026.05.2 : mise à jour 2 déployée à partir du 26 mai

Sign-In Widget, version 7.45.3

Pour plus de détails sur cette version, consultez les notes de version du widget de connexion https://github.com/okta/okta-signin-widget/releases. Pour plus d'informations sur le widget, consultez Widget de connexion Okta.

Mise à jour de la version du système d'exploitation pour la garantie des appareils

Les versions des systèmes d'exploitation suivantes sont désormais prises en charge dans les politiques de garantie des appareils :

  • Android 14 (2026-05-01)
  • Android 15 (2026-05-01)
  • Android 16 (2026-05-01)
  • iOS 18.7.9
  • iOS 26.5
  • macOS Sonoma 14.8.7
  • macOS Sequoia 15.7.7
  • macOS Tahoe 26.5
  • Builds Windows 10 (10.0.17763.8755, 10.0.19044.7291, 10.0.19045.7291)
  • Builds Windows 11 (10.0.22621.7079, 10.0.22631.8457, 10.0.26100.8457)
Approvisionnement pour Axway Amplify

L'approvisionnement est désormais disponible pour l'intégration de l'app Axway Amplify. Lorsque vous provisionnez l'app, vous pouvez activer des fonctionnalités de sécurité telles que la gestion des droits. Reportez-vous à Axway Amplify.

Correctifs

  • Les administrateurs disposant de permissions en lecture seule pouvaient voir les boutons d'action pour les authentificateurs pré-enrôlés. (OKTA-983779)

  • Les administrateurs en lecture seule pouvaient actualiser les groupes d'applications qui prenaient en charge les pushs de groupes. (OKTA-1114983)

  • Le System Log affichait des événements Push user deactivation to external application en double pour les apps SAML avec approvisionnement SCIM. (OKTA-1124966)

  • Certains utilisateurs désactivés conservaient le statut Désactivation en cours et ne pouvaient pas être modifiés dans l'Admin Console ou via l'API. (OKTA-1138239)

  • Lorsqu'une application SAML était affecté à un utilisateur par le biais d'un groupe, il ne pouvait pas toujours accéder à l'application après s'être connecté à Okta. (OKTA-1140346)

  • L'attribut e-mail pour une nouvelle adresse e-mail principale était mis à jour avant la fin du processus de vérification de l'e-mail. (OKTA-1147280)

  • Le Sign-In Widget affichait une erreur après que les utilisateurs avaient effectué une réinitialisation du mot de passe en libre-service lorsque la politique d’authentification aux apps avait activé l'invite Rester connecté(e). (OKTA-1152243)

  • Les administrateurs ne pouvaient pas toujours utiliser les politiques de vérification des appareils dans les politiques de connexion, sauf s'ils activaient Okta FastPass comme authentificateur. (OKTA-1153165)

  • La page Agents d'IA ne fournissait pas de lien vers la console ISPM. (OKTA-1174497)

  • Lorsque les évaluations des règles de groupes échouaient, le System Log affichait des messages d'exception et des requêtes SQL. (OKTA-1177889)

Okta Integration Network

  • Butterfly Security (service d'API) est maintenant disponible. En savoir plus.

  • Gatekeeper (SCIM) est désormais disponible. En savoir plus.

  • Icite (service d'API) a maintenant la permission okta.roles.read.

2026.05.3 : mise à jour 3 déployée à partir du 1er juin

ID de domaine Realm inclus dans les événements d'activité des utilisateurs du System Log

Le System Log inclut désormais l'attribut ID de domaine Realm pour les événements d'activité des utilisateur tels que authentification, la MFA et l'accès aux apps. Cela permet aux administrateurs de filtrer et de classer l'activité des utilisateurs par division dans les outils de sécurité en aval, sans avoir à reproduire manuellement cette logique.

Correctifs

  • Les boutons Ajouter un agent, Mettre à jour l'agent, Désactiver l'agentet Gérer la mise à jour automatique restaient actifs pour les administrateurs en lecture seule dans l'Admin Console. Bien que le serveur ait bloqué toute modification, l'Admin Console n'indiquait pas visuellement que ces actions étaient restreintes. (OKTA-1031559)

  • Dans les orgs dont les politiques de connexion aux applications utilisaient une chaîne de méthodes d'authentification, les utilisateurs ne pouvaient pas configurer leur adresse e-mail comme moyen d'authentification facultatif lors de la création de leur compte. Ce problème se produisait même si l'e-mail était un authentificateur facultatif autorisé. (OKTA-1102579)

  • Le tableau de bord Résultats d'importation de l'agent d'approvisionnement Okta affichait des totaux incohérents pour une app SCIM. La somme des catégories d'enregistrements individuels ne correspondait pas au total général des enregistrements audités. (OKTA-1135158)

  • Lorsqu'un administrateur consultait un profil utilisateur, l'état de gestion des appareils partagés s'affichait de manière incorrecte. (OKTA-1148888)

  • Tous les e-mails de notification des campagnes de certification d'accès étaient en anglais, même lorsque des Paramètres régionaux différents étaient spécifiés sur la page de profil de l'utilisateur dans l'Admin Console. (OKTA-1170541)

  • Les règles de groupe n'étaient pas toujours évaluées après la mise à jour du profil d'un utilisateur.(OKTA-1171950)

  • Dans certaines orgas, les administrateurs étaient invités à s'authentifier deux fois lorsqu'ils essayaient de se connecter à l'Admin Console. (OKTA-1175980)

Okta Integration Network

  • Cisco Webex possède une nouvelle icône.

  • Clozd (OIDC) dispose désormais d'un nouvel URI de redirection.

  • Factor Labs (SAML) est désormais disponible. En savoir plus.

  • Le logo de l'app KnowBe4 a été mis à jour.

  • Le titre de Lucid (SAML) a été mis à jour dans AppLinks.

  • Requirement Yogi (OIDC) est désormais disponible. En savoir plus.

  • ReReady (OIDC) est désormais disponible. En savoir plus+.+

  • Samsara (SWA) a été mise à jour.

  • Scalefusion OneIdP (SCIM) a été mis à jour.

  • L'app test SCIM 2.0 (authentification de base) dispose désormais d'un nouveau logo.

  • SYEN Comply pour Okta (service API) est désormais disponible. En savoir plus+.+

  • Teleport (SAML) est désormais disponible. En savoir plus.

  • Teleport (SCIM) est désormais disponible. En savoir plus.

  • Tenable Cloud Security (SAML) dispose d'une URL ACS et d'une URL d'audience configurables.

  • Tenable Cloud Security JIT (SAML) dispose d'une URL ACS et d'une URL d'audience configurables.

  • Zscaler (SCIM) dispose désormais d'attributs supplémentaires.