Okta Identity Engineリリースノート(早期アクセス)

早期アクセス機能

OIDCトークンエンドポイントのネットワーク制限はプレビュー内のEAです

OIDCトークンのエンドポイントにネットワーク制限を適用して、トークンのセキュリティを強化できるようになりました。「OpenID Connectアプリ統合を作成する」を参照してください。

Okta統合IdPタイプはプレビュー内のEAです

Okta統合IdPを使用すると、Okta orgを外部IdPとして使用でき、構成を簡素化して安全なデフォルトを提供できます。「Okta統合IDプロバイダーを追加する」を参照してください。

プレビュー内のEAがIdPのシングルログアウトとなる

IdPのシングルログアウト(SLO)機能によって、ユーザーがアプリからサインアウトした際にIdPセッションを自動的に終了することで、共有デバイスと外部IdPを使用する組織のセキュリティが強化されます。また、この機能では、すべての新規ユーザーに対して新しい認証が必要となり、共有デバイスでのセッションハイジャックリスクが排除されます。IdP向けSLOでは、SAML 2.0接続とOIDC IdP接続の両方がサポートされます。これにより、どのような環境でも共有ワークステーションに堅牢なセッション管理が提供されます。「SAML IDプロバイダーを追加する」を参照してください。

資格情報侵害の保護

侵害された資格情報の影響からorgを保護します。Oktaでは、サードパーティが選択したデータセットと比較した後、ユーザー名とパスワードの組み合わせが侵害されたと判断された場合、ユーザーパスワードのリセット、強制ログアウト、委任Workflowの呼び出しなど、パスワードポリシーにより保護応答をカスタマイズできます。「資格情報侵害の検出」を参照してください。

この機能は5月15日から徐々に運用を開始しています。

Microsoft Entra IDの外部認証方法としてのOkta

Okta多要素認証(MFA)を使用して、Microsoft Entra IDのMFA要件を満たします。これにより、ユーザーは二重認証を回避し、OktaとMicrosoft 365アプリ間でシームレスなエクスペリエンスが提供されます。「OktaをMicrosoft Entra IDの外部認証方法として構成する」を参照してください。

Active DirectoryのDirSyncによるグループインポート

Active Directory(AD)統合のプロビジョニングタブに、DirSyncを使用したADによるインポートを有効にするチェックボックスが追加されました。チェックボックスを有効にすると、管理者はDirSyncを使用してグループの増分インポートを実行できます。「Active Directoryのインポートとアカウントの設定を構成する」を参照してください。

ITPのカスタム管理者ロール

この機能により、顧客は詳細なITP権限とリソースを使用してカスタムロールを作成し、ITPの構成と監視を適切な範囲で認可することができます。「ITPのカスタム管理者ロールを構成する」を参照してください。

RingCentralで新しいデフォルト電話番号ロジックを使用する

RingCentralアプリ統合で電話番号を検出および入力するロジックが更新され、DirectNumberとIntegrationNumberの両方のエントリで動作するようになりました。

アプリコンテキストを外部IdPに送信する

ユーザーがアプリへのアクセスを試みる際に、アプリに関するコンテキストを外部のIDプロバイダー(IdP)に転送できるようになりました。IdPのアプリケーションコンテキストチェックボックスを有効にすると、外部IdPに送信されるSAMLまたはOpenID Connectリクエストにアプリ名と一意のインスタンスIDが含まれます。この機能強化により、外部IdPは情報に基づいた、コンテキストに応じた認証決定を行えるようになり、高度なセキュリティシナリオとゼロトラスト環境がサポートされます。この機能を有効にするには、Admin Consoleで設定 > 機能に移動し、アプリケーションコンテキストを外部IdPに送信するを見つけて有効にします。

自動ローテーションによるOrg2OrgのOAuth 2.0プロビジョニング

複数orgアーキテクチャ(Oktaハブアンドスポークorgなど)をデプロイする管理者は、ユーザーとグループのプロビジョニングを保護する必要があります。OAuth 2.0スコープのトークンを使用したプロビジョニングには、より詳細なアクセス権限の設定、トークンの短い有効期間、キーの自動ローテーションなど、APIトークンに比べていくつかの利点があります。Admin Consoleから直接、Org2OrgアプリのプロビジョニングにOAuth 2.0の自動ローテーションを有効化できるようになりました。

Okta Org2OrgをOktaと統合する」を参照してください。

Okta Privileged AccessでActive Directoryアカウントを管理する

この機能により、Okta AD Agentを使用してOkta Privileged Accessを通じてActive Directory(AD)アカウントパスワードを管理できます。管理者は、特定の組織単位(OU)内のアカウントに検出ルールを設定し、ユーザーアクセスのポリシーを作成して、チェックイン時またはスケジュールに従ってパスワードがローテーションされるようにできます。アクセス権を持つユーザーは、割り当てられたアカウントを表示し、パスワードを取得できます。この機能を有効にする場合は、Oktaサポートにお問い合わせください。「Active Directoryアカウントを管理する」を参照してください。

Oktaファーストパーティアプリのアプリスイッチャー

End-User Dashboard、Admin Console、Workflowsコンソールにアプリスイッチャーが追加され、管理者は割り当てられたOktaアプリ間をすばやく移動できるようになりました。アプリスイッチャーを表示するには、[Unified look and feel for Okta Admin Console(Okta Admin Consoleの統一された外観と操作性)][Unified look and feel for Okta Dashboard(Okta Dashboardの統一された外観と操作性)]の早期アクセス機能を有効にする必要があります。

Universal Directoryマップのトグル

新しいUniversal Directory (UD)マップのトグルを使用すると、管理者はユーザーのメールアドレスをユーザーIDにリンクできます。これにより、管理者はセルフサービス登録機能を有効化できます。「一般的なセキュリティ」を参照してください。

新しい本人確認プロバイダーの追加

OktaがIDプロバイダーとしてCLEAR Verifiedの使用をサポートするようになりました。これにより、ユーザーがオンボードやアカウントのリセットを行うときに、ユーザーのアイデンティティ検証に使用できる本人確認ベンダー(IDV)の数が増えます。「本人確認ベンダーをIDプロバイダーとして追加する」を参照してください。

Okta Verifyによるユーザー検証のインラインステップアップフロー

エンド ユーザーは、現在の登録が不十分な場合でも、高いユーザー検証(UV)レベルを必要とする認証ポリシーを簡単に満たすことができます。この機能により、ユーザーにはUVの必要な有効化手順が事前に案内されます。そのため、管理者はより厳格な生体認証UVポリシーを自信を持って実装し、ユーザーロックアウトのリスクをなくし、UVの不一致に関連するサポートの問い合わせを減らすことができます。「Okta Verifyユーザー検証設定に基づくユーザーエクスペリエンス」を参照してください。

Okta Device Accessのカスタム管理者ロール

カスタム管理者ロールを構成して、Okta Device Access機能を表示および管理できるようになりました。この機能強化により、ITチームは、最も高いセキュリティ権限を必要とせずにOkta Device Access機能を効果的に管理できる管理者を指定できます。「Desktop MFAの復旧」を参照してください。

ID検証用の新しいシステムログイベント

新たな「user.identity_verification」イベントは、ID検証ベンダー(IDV)によるID検証の結果(成功または失敗)を表示します。失敗した場合は、イベントにその理由も表示されます。

パスワード有効期限フローのOAMP保護

この機能により、Okta Account Managementポリシーでパスワード有効期限フローを保護すると、顧客orgのセキュリティポスチャが改善されます。パスワード有効期限フローには、orgのOkta Account Managementポリシーに定義された保証が必要になりました。「パスワードの有効期限を有効化する」を参照してください。

高度なデバイスポスチャーチェック

高度なポスチャチェックにより、ユーザーに拡張されたデバイス保証が提供されます。これにより、管理者はOktaの標準チェックを超えるカスタマイズされたデバイス属性に基づいてコンプライアンスを適用できるようになります。この機能は、osqueryを使用することで、macOSデバイス全体でのリアルタイムのセキュリティ評価を容易にします。そのため、orgはデバイス群の可視性と制御を強化し、信頼できるデバイスのみが機密リソースにアクセスするようにできます。「デバイス保証に高度なポスチャチェックを構成する」を参照してください。

デバイス保証のためのカスタム修復

Okta VerifyまたはChrome Device Trustによるデバイスポスチャチェックの失敗により認証が失敗した場合、ユーザーにカスタム修復手順を表示できるようになりました。「デバイス保証のカスタム修復手順を構成する」を参照してください。

SAP Netweaver ABAP用On-prem Connector

SAP NetWeaver ABAP用On-prem Connectorは、すぐに使用できるソリューションを提供し、SAPオンプレミスアプリをOkta Identity Governanceに接続します。これにより、Oktaで直接SAPエンタイトルメント(ロール)を検出、可視化、管理できます。この統合により、カスタム統合の必要性がなくなり、エンタイトルメント管理が合理化されることで、セキュリティの強化、時間の節約、ガバナンスの簡素化が実現します。

Universal Syncの新しい属性

Universal Syncでは、次の属性がサポートされるようになりました:AuthOrigDLMemRejectPermsDLMemSubmitPermsUnauthOrig

パスワードで使用される単語をブロックする

Okta Expression Languageを使用して、パスワードで使用される単語をブロックできるようになりました。この機能により、パスワードの強度要件をカスタマイズすることでセキュリティが強化されます。

同期可能なパスキーをブロックする

認証中に同期可能なパスキーをブロックできるようになりました。以前は、登録中にのみブロックできました。これにより、ユーザーが同期可能なパスキーを提示して管理対象外の新しいデバイスを登録しようとすることを防ぎ、orgのセキュリティが強化されます。

アプリユーザーを非アクティブ化するためのセルフサービストグル

管理者はセルフサービストグルを使用して、Oktaユーザーの非アクティブ化時に個々のアプリ割り当てがどうなるのかを変更できるようになりました。有効にすると、ユーザーの個々のアプリの割り当てが一時停止ではなく非アクティブ化されます。ユーザーがOktaで再度アクティブ化されても、個々のアプリ割り当ては再アクティブ化されません。

切断されたアプリのエンタイトルメント対応

切断されたアプリとは、Okta内でLCM統合されていないアプリです。この機能を使用すると、CSVファイルを使用して、切断されたアプリからユーザーとエンタイトルメントをOktaにインポートできます。これにより、Oktaと完全に統合されていないアプリも含め、すべてのアプリで一貫したガバナンスとコンプライアンスが実現します。

Secure Partner Access管理者ポータルのMFA

パートナーの管理者ポータルアプリへのアクセスにMFA が必須になりました。

登録の猶予期間

現在、管理者がグループの登録ポリシーを定義すると、グループ全体が直ちに登録する必要があり、日常的なタスクの妨げになる可能性があります。

登録の猶予期間を使用すると、エンドユーザーは、登録が必須となる、管理者が定義した期限まで、新しいAuthenticatorの登録を延期できます。これにより、エンドユーザーは都合のよいときに登録できるようになり、認証ポリシーでAuthenticatorの新しいタイプを適用する前に、よりスムーズに登録を行うことができます。「Authenticator登録ポリシー」を参照してください。

インポートされたユーザーの再照合を強制する

この機能は完全インポートや増分インポートにかかわらず、プロファイルソースからインポートされた未確認ユーザーの再照合を強制します。インポートされたユーザーを既存のOktaユーザーと照合しようとします。この機能を有効にすると、すべてのインポートで未確認のユーザーの一致が再評価されます。

ユーザーのシステムログイベントのインポート中にエンタイトルメント同期をスキップする新機能

次のシステムログイベントが追加されました:ユーザーインポート中のエンタイトルメント同期のスキップ

Okta間のクレーム共有の強化

Okta間のクレーム共有では、シングルサインオン用のスマートカードAuthenticatorとActive Directoryの使用がサポートされるようになりました。これにより、ユーザーがすでにOkta orgに認証されている場合、サービスプロバイダーで認証する必要がなくなります。

SAP Netweaver ABAP用On-prem Connectorでサポートされる属性の追加

Okta On-prem Connectorでは、サポートされるユーザー属性が追加されて、OktaとSAP Netweaver ABAPとの統合が向上しました。

外部パートナー向けのSecure Partner Access

Secure Partner Accessは、外部のビジネスパートナーがorgのリソースに安全にアクセスできるようにします。パートナー管理タスクの効率化やITの作業負荷を軽減する他にも、orgのセキュリティ要件を構成するプロセスが簡素化されます。「Secure Partner Access」を参照してください。

Okta FastPassの同一デバイス登録

Okta FastPassの同一デバイス登録が再び利用できるようになりました。この機能は、Okta Verifyの登録問題を解決するために削除されていました。 Okta FastPassを使用しているorgでは、Okta Verifyの登録プロセスが合理化されました。

  • ユーザーは現在使用しているデバイスで登録を開始して完了できます。以前は登録に2台目のデバイスが必要でした。登録には可能であれば2FAが必要であり、2台目のデバイスが必要になる場合があることに注意してください。
  • ユーザーは登録時にorgのURLを入力する必要がなくなりました。
  • 登録フローの手順が少なくなりました。

この機能は、Android、iOS、macOSデバイスでサポートされています。有効にするには、[Admin Console][Settings(設定)]に移動し、[Same-Device Enrollment for Okta FastPass(Okta FastPass の同一デバイス登録)]をオンにします。

SSFストリームの検証

Okta SSFトランスミッターでは、検証エンドポイントをサポートして、受信者が検証イベントを要求し、トランスミッターと受信者間のエンドツーエンド配信を検証できるようになりました。SSFトランスミッター検証イベントクレームの構造も、OpenID Shared Signals Framework ID3の仕様に準拠するようになりました。

デバイス保証の猶予期間

場合によっては、ソフトウェア更新の見逃しや承認されていないネットワーク接続などの一時的な状況により、ユーザーのデバイスがセキュリティポリシーに準拠しなくなることがあります。猶予期間がなければ、重要なリソースへのアクセスが直ちにブロックされ、生産性の低下やフラストレーションの原因になります。デバイス保証機能の[Grace period(猶予期間)]を使用すると、非準拠のデバイスでもリソースにアクセスできる一時的な期間を定義できます。これにより、ユーザーがロックアウトされることなく問題を修正する時間を確保できるため、生産性とセキュリティ標準のバランスをとることができます。「デバイス保証ポリシーを追加する」を参照してください。

パスキー自動入力によるシームレスで安全な認証

パスキーはブラウザーに既存の自動入力機能を活用し、ユーザーに合理化されたサインインエクスペリエンスを提供します。これにより、ユーザーは資格情報の入力や追加プロンプトの表示に煩わされることなく、orgに迅速かつ直感的にサインインできます。この安全でフィッシング耐性のあるソリューションは、デバイス間でシームレスに動作し、強化されたセキュリティと、最新の認証ニーズに対応する利便性の両方を実現します。「FIDO2(WebAuthn)Authenticatorを構成する」を参照してください。

OIDCおよびSAMLアプリ統合の強化

[Front-channel Single Logout(フロントチャネルシングルログアウト)]機能を有効にすると、OIDCおよびSAMLアプリ統合ページに、アプリのすべてのログアウト設定を含む単一の [Logout(ログアウト)]セクションが表示されます。

Identity Governance管理者アプリのアクセスにMFAを必須にする

orgがOkta Identity Governanceを使用している場合は、ファーストパーティアプリであるOkta Access Certifications、Okta Entitlement Management、Okta Access Requests Adminにアクセスする管理者に対してMFAを必須にできます。org内でEA機能を自動的に有効にした場合は、それらのアプリに対してMFAが自動的に強制されます。「Admin ConsoleのMFAを有効にする」を参照してください。

Android向けDevice Trustによるデバイス保証の強化

デバイス保証のAndroid向けDevice Trust統合により、Androidデバイスのセキュリティ対策を評価および適用する機能が強化されます。Play IntegrityのステータスやWi-Fiセキュリティのチェックなど、追加のセキュリティ設定が導入されます。この統合により、デバイスコンプライアンスが強化される一方、モバイルデバイス管理(MDM)の必要性がなくなり、orgはAndroidエンドポイントのセキュリティ保護をより柔軟に行うことができます。「OktaをAndroid向けDevice Trustと統合する」を参照してください。

カスタムのサインイン維持ラベル

管理者がサインインページで [Keep me signed in(サインインしたままにする)] ラベルをカスタマイズできるようになりました。

APIエンドポイントを呼び出すためのOAuth 2.0セキュリティ

Okta WorkflowsユーザーはOAuth 2.0プロトコルとOkta Orgの認可サーバーを使用して、APIエンドポイントを安全に呼び出すことができるようになりました。この早期アクセス機能は、既存のトークン認可オプションよりも安全な上に実装も簡単です。新規または既存のアプリ統合にokta.workflows.invoke.manageスコープを追加して、APIエンドポイントを呼び出せるようにします。

SCIM 2.0対応のOkta Provisioning Agentによるエンタイトルメント管理

このエージェントは、Governance Engineが有効化されたアプリ統合のエンタイトルメント管理をサポートします。これは、Oktaとオンプレミスアプリ間でエンタイトルメントをプロビジョニングできるようにします。

継続的アクセスウィジェットが認証後セッション違反ウィジェットに変更

Identity Threat Protectionダッシュボードの継続的アクセスウィジェットの名前が、認証後セッション違反ウィジェットに変更されました。

  • 継続的なアクセス違反はセッション違反に名前が変わりました。
  • 継続的なアクセス評価は認証後セッション評価に名前が変わりました。

継続的アクセスが認証後セッションに変更

認証ポリシーの[継続的アクセス]タブの名前が、認証後セッションに変更されました。

Identity Threat Protectionレポートの更新

Identity Threat Protectionレポートが次のように更新されました。

  • [レポートリスト]ページ

    • 継続的アクセス評価セクションはIdentity Threat Protectionに名前が変わりました。
    • 継続的アクセス違反レポートはセッション違反レポートに名前が変わりました。
  • [継続的アクセス違反レポート]ページ

    • 継続的アクセスインスタンスはセッションに名前が変わりました。
    • 説明のレポート遅延が4時間から15分に変更されました
  • リスクにさらされているユーザーレポート

    • 説明のレポート遅延が4時間から15分に変更されました

検証ページをスキップしてIdP Authenticatorにリダイレクト

この機能はユーザーがSign-In Widgetで確認手順をスキップできるようにします。その代わりに、ユーザーが検証のためにIdP Authenticatorにリダイレクトされます。この機能を有効にすると、Sign-In Widgetの検証をスキップするオプションがエンドユーザーに表示されます。orgがユーザーの前回のAuthenticatorを記憶するように構成されている場合は、今後のサインイン試行でユーザーがIdP Authenticatorに自動的にリダイレクトされます。

Admin Consoleへの保護されたアクセスの強化

保護されたアクションにMFAを要求するAdmin Console機能の一部として、Admin Consoleに適用可能な認証ポリシーを変更するにはステップアップ認証が必要です。