Okta Identity Engineリリースノート(早期アクセス)
早期アクセス機能
カスタムメールプロバイダー向けのOAuth 2.0サポート
OAuth 2.0認証を使用して、カスタムメールプロバイダーを構成できるようになりました。2つのOAuth 2.0クライアント構成のいずれかを選択して、アクセストークンを取得し、それらのアクセストークンを使用してメールプロバイダーのSMTPサーバーで認証します。「独自のメールプロバイダーを使用する」を参照してください。
認証アクティビティレポート
認証アクティビティレポートは、Okta FastPassの使用状況などの認証に関する詳細なインサイトを提供し、MFAアクティビティレポートを補完するものです。デバイスタイプ(Android、iOS、macOS、Windows)、管理状態(管理対象、管理対象外)、登録ステータス(登録済み、未登録)、検証方法(TOTP、プッシュ、Okta FastPass)でフィルタリングされたアクティビティを表示できます。「認証アクティビティレポート」を参照してください。
SSO拡張機能を使用するOkta FastPassでmacOSのChromeをサポート
macOSのChrome向けSSO拡張機能サポートオプションを有効にすると、Chrome 145以降でSSO拡張機能の使用をサポートできるようになりました。これにより、macOSの最新ブラウザーバージョンでユーザーのシームレスな認証が確保されます。
フォールバックIDプロバイダーとしてのOkta
この機能は、プライマリIDプロバイダーがユーザーのIDを確立できない場合に、ユーザーをOktaにリダイレクトして認証するものです。これは、無効な資格情報やMFAの失敗など、明示的な拒否が原因で、また、prompt=none OIDCリクエスト時やIsPassive=true SAMLリクエスト時などに既存のユーザーセッションをサイレント検証できない場合に発生する可能性があります。「IDプロバイダーのルーティングルールを構成する」を参照してください。
On-premises Connector for Generic Databases
新しいOn-premises Connector for Generic Databasesにより、管理者は、Okta On-Prem SCIMサーバーを使用してオンプレミスデータベース内のユーザーとエンタイトルメントを管理できます。このコネクターでは、Oracle、MySQL、PostgreSQL、Microsoft SQL Serverがサポートされます。これにより、orgはAccess Requests、認定、Lifecycle Management、エンタイトルメント管理などのGovernance機能をデータベース環境に適用できます。「On-premises Connector for Generic Databases」を参照してください。
侵害された資格情報の保護
侵害された資格情報の影響からorgを保護します。Oktaでは、サードパーティが選択したデータセットと比較した後、ユーザー名とパスワードの組み合わせが侵害されたと判断された場合、ユーザーパスワードのリセット、強制ログアウト、委任Workflowの呼び出しなど、パスワードポリシーにより保護応答をカスタマイズできます。「侵害された資格情報の保護」を参照してください。
侵害された資格情報の保護を米国連邦政府のお客様にもご利用いただけるようになりました。
Web SSOへのネイティブ
Native to Web SSOは、ユーザーがOIDCアプリ(ネイティブまたはWebアプリなど)からWebアプリ(OIDCまたはSAMLのいずれか)に移行するときに、シームレスで統合された認証エクスペリエンスを作成します。この機能では、SAMLやOpenID Connectなど、標準のWebベースのフェデレーションプロトコルを使用します。これにより、1回限りの一方向クライアント間信頼SSOトークンを使用して、2つの異なるアプリケーション環境間のギャップを埋めることができます。これにより、すでに提供されているサインオン保証の繰り返しが不要になり、認証の複雑さが軽減されることで、開発が簡略化されます。「Web SSOへのネイティブを構成する」を参照してください。
SHA-256ダイジェストアルゴリズムのサポート
外部IdPに送信されるSAML AuthnRequestをハッシュする場合に、OktaはSHA-256ダイジェストアルゴリズムをサポートするようになりました。
Okta Account Managementポリシーでのデバイス条件
この機能により、管理者はセルフサービスによるパスワードのリセットやデバイス条件を使用した新規Authenticatorの登録など、アカウント管理アクティビティを制限できるようになりました。管理者は、登録済みデバイスと管理対象デバイスを使用してOkta Account Managementポリシールールを構成するか、デバイス保証ポリシーの要件を満たすようデバイスに要求できるようになりました。「最初のフィッシング耐性のあるAuthenticatorの登録にルールを追加する」を参照してください。
ポリシーインサイトダッシュボード
ポリシーインサイトダッシュボードで、 orgに対するポリシーの影響を明確に把握できます。サインインの成功、アクセス拒否、 Authenticator登録の傾向を監視することができ、ユーザーのサインインにかかる時間やフィッシング耐性のある認証の普及についての知見も得ることができます。ダッシュボードではルール一致の頻度と、サインイン試行の成功の割合も追跡します。「ポリシーインサイトダッシュボードを使用する」を参照してください。
Authenticator登録猶予期間のスキップ回数
この機能により、管理者は、Authenticatorへの登録を延期できるスキップの回数、またエンドユーザーに猶予期間が表示されたときのプロンプトのカスタマイズを定義できます。「Authenticator登録ポリシー」を参照してください。
WindowsでのOkta Verifyのリリース制御
新しいリリース制御機能で、管理者はWindowsでOkta Verifyの自動更新を許可、一時停止、または制限するかを構成できるようになります。これにより、企業の変更管理要件を満たし、Windowsエンドポイント全体でバージョンロールアウトを管理するための柔軟性が高まります。「Okta Verifyのリリース制御を構成する」を参照してください。
WorkflowsのGovernanceがEAで利用可能
Okta Identity Governanceを使用して、Workflowsロールへのアクセスを管理できるようになりました。これにより、Workflowsへのアクセスを会社の要件に準拠し、一貫して付与できるようになります。「Governance for Workflows」を参照してください。
パスワードの複雑さの要件
Oktaでは、ユーザーがパスワードに入力できる、連続した繰り返し文字の数を制限できるようになりました。パスワードの複雑性の要件が、 Active DirectoryおよびLDAPをソースとするユーザーにも適用されるようになりました。この変更により、パスワードの複雑性のオプションが拡張され、この保護が適用されるユーザープロファイルタイプが増えるため、 orgのセキュリティが強化されます。「パスワードAuthenticatorを構成する」を参照。
パスキーのブランド変更
FIDO2(WebAuthn)Authenticatorのブランド名が、パスキー(FIDO2 WebAuthn)に変更され、Oktaでは管理制御が強化され、ユーザーエクスペリエンスが合理化されます。この更新により、統合された設定ページを通じてパスキー管理が一元化され、Authenticatorのカスタム名が使用できるようになり、Sign-In Widget内に[パスキーでサインイン]ボタンが導入されます。これらの機能強化により、認証手順が簡素化され、ユーザーに[パスキーでサインイン]ボタンを使った、より直感的なサインインプロセスが実現されます。「FIDO2(WebAuthn)Authenticatorを構成する」を参照してください。
Windows向けDesktop MFAの復旧
このリリースでは、WindowsでのDesktop MFA機能が強化され、管理者が支援する復旧パスが含まれています。ユーザーがWindowsデバイスからロックアウトされた場合、管理者は時間ベースの復旧PINを発行できるようになりました。これにより、ユーザーはプライマリMFAデバイスを必要とせずにコンピューターに一時的にアクセスでき、Authenticatorの問題を解決して正常にサインインできるようになります。「WindowsにDesktop MFAの復旧を有効にする」を参照してください。
複数のアクティブなIdP署名証明書
Oktaでは、単一のSAML IDプロバイダー(IdP)のアクティブな署名証明書を複数サポートするようになり、ダウンタイムなしでシームレスに証明書をローテーションできるようになりました。管理者はIdP接続毎に最大2枚の証明書をアップロードできます。この改善により、IdPパートナーと緊密に連携された交換を行う必要がなくなり、証明書の有効期限切れによる認証失敗のリスクが低減されます。この機能は、Admin ConsoleとIdP Certificates APIの両方で利用できます。
デバイスシグナル収集ポリシー
新しいデバイスシグナル収集ポリシーを使用すると、管理者はOktaのデフォルト動作を上書きし、Oktaがデバイスデータを収集する方法を指定して、それを認証ポリシーの評価で使用できます。「デバイスシグナル収集ルールを作成する」を参照してください。
OIDC IDトークンのJSON Web暗号化
Oktaで保護されたカスタムアプリ統合のOIDC IDトークンを、JSON Web暗号化を使用して暗号化できるようになりました。「アプリ統合用のOIDC IDトークンを暗号化する」を参照してください。
PDF形式でのOkta Identity Governanceレポートのエクスポート
Okta Identity GovernanceレポートをPDFにエクスポートできるようになりました。エクスポート時に、レポートに含める特定の列を選択することもできます。
エンドユーザーによる管理証明の修復
この機能強化は、すべてのOSプラットフォームの管理証明にOktaのカスタムエラー修復を拡張することで、修復を改善するものです。管理者は、管理チェックに失敗するデバイスに対して特定の修復メッセージを作成できるようになりました(デバイスがMDM管理対象外の場合など)。ユーザーはサインインフロー時に明確で実行可能な修復手順を受け取り、自分で問題をトラブルシューティングすることができます。これにより、ITヘルプデスクのチケットが減り、迅速かつ安全なアクセスが実現して、ユーザーエクスペリエンスが向上します。「デバイス保証の修復メッセージ」を参照してください。
Identity Governance管理者アプリのMFAを強制適用する
Identity Governance管理者アプリのMFAの強制適用は、セルフサービスの早期アクセス機能として利用することはできなくなりました。この機能を有効または無効にするときは、管理者はOktaサポートに問い合わせる必要があります。「Admin ConsoleのMFAを有効にする」を参照してください。
LDAPでプロビジョニングされたユーザーのOUの移動
管理者がOktaをLDAPプロビジョニング設定に構成するときに、グループ割り当てを変更することでユーザーを別の組織単位(OU)に移動できるようになりました。「OktaをLDAPプロビジョニング設定に構成する」を参照してください。
ADからOktaへのユーザーパスワード移行
ユーザーまたは運用を中断することなく、ADからOktaにユーザーパスワードをシームレスに移行できます。これにより、Oktaがユーザーパスワードの信頼できるソースとして確立され、Oktaがユーザー認証を処理できるようになり、委任認証が不要になります。「ADからOktaへのパスワード移行」を参照してください。
エンドユーザー設定バージョン2.0のユーザーインターフェイスの改善
エンドユーザー設定バージョン2.0では、強化された新しいユーザーインターフェイス要素が追加されています。
IDアサーション認可付与(ID-JAG)発行のシステムログイベント
app.oauth2.token.grant.id_jagイベントは、アプリがOAuth 2.0トークン交換を完了し、IDアサーション認可付与(ID-JAG)JWTを取得する際に生成されます。
Okta Hyperspaceエージェント、バージョン1.5.1
このバージョンには、セキュリティ強化が含まれます。
Oracle EBS用On-prem Connector
Oracle EBS用On-prem Connectorは、Oracle EBSオンプレミスアプリをOkta Identity Governanceに接続します。これにより、管理者はOktaで直接Oracle EBSエンタイトルメントを検出、表示、管理できます。この統合により、セキュリティの強化、時間の節約、権限管理の合理化ができて、カスタム統合の必要性がなくなります。「Oracle EBS用On-prem Connector」と「On-prem Connectorでサポートされるエンタイトルメント」を参照してください。
プレビュー内のEAがIdPのシングルログアウトとなる
IdPのシングルログアウト(SLO)機能によって、ユーザーがアプリからサインアウトした際にIdPセッションを自動的に終了することで、共有デバイスと外部IdPを使用する組織のセキュリティが強化されます。また、この機能では、すべての新規ユーザーに対して新しい認証が必要となり、共有デバイスでのセッションハイジャックリスクが排除されます。IdP向けSLOでは、SAML 2.0接続とOIDC IdP接続の両方がサポートされます。これにより、どのような環境でも共有ワークステーションに堅牢なセッション管理が提供されます。「SAML IDプロバイダーを追加する」を参照してください。
Oracle Human Capital Managementのプロビジョニング
Oracle Human Capital Managementアプリの統合でプロビジョニングが利用できるようになりました。アプリのプロビジョニングでは、エンタイトルメント管理やPrivileged Accessなどのセキュリティ機能を有効にできます。「Oracle Human Capital Management」を参照してください。
デバイスシグナル収集ポリシーの保護対象アクションのサポート
Oktaでは、管理者がAdmin Consoleでデバイスシグナル収集ポリシーに変更を加えた場合、ステップアップ認証を要求します。変更は、管理者が正常に認証された後にのみ許可されます。この機能により、管理者は保護対象アクションを実行する前にMFAを要求できるようになり、orgのセキュリティが強化されます。「Admin Consoleの保護対象アクション」を参照してください。
侵害された資格情報の保護
侵害された資格情報の影響からorgを保護します。Oktaでは、サードパーティが選択したデータセットと比較した後、ユーザー名とパスワードの組み合わせが侵害されたと判断された場合、ユーザーパスワードのリセット、強制ログアウト、委任Workflowの呼び出しなど、パスワードポリシーにより保護応答をカスタマイズできます。「侵害された資格情報の保護」を参照してください。
この機能は5月15日から徐々に運用を開始しています。
Active DirectoryのDirSyncによるグループインポート
Active Directory(AD)統合のプロビジョニングタブに、DirSyncを使用したADによるインポートを有効にするチェックボックスが追加されました。チェックボックスを有効にすると、管理者はDirSyncを使用してグループの増分インポートを実行できます。「Active Directoryのインポートとアカウントの設定を構成する」を参照してください。
ITPのカスタム管理者ロール
この機能により、顧客は詳細なITP権限とリソースを使用してカスタムロールを作成し、ITPの構成と監視を適切な範囲で認可することができます。「ITPのカスタム管理者ロールを構成する」を参照してください。
RingCentralで新しいデフォルト電話番号ロジックを使用する
RingCentralアプリ統合で電話番号を検出および入力するロジックが更新され、DirectNumberとIntegrationNumberの両方のエントリで動作するようになりました。
LDAPエージェント構成ファイルの変更をモニタリングするためのシステムログイベント
LDAP エージェントが構成ファイルの変更を検出すると、system.agent.ldap.config_change_detectedイベントが生成されます。
自動ローテーションによるOrg2OrgのOAuth 2.0プロビジョニング
複数orgアーキテクチャ(Oktaハブアンドスポークorgなど)をデプロイする管理者は、ユーザーとグループのプロビジョニングを保護する必要があります。OAuth 2.0スコープのトークンを使用したプロビジョニングには、より詳細なアクセス権限の設定、トークンの短い有効期間、キーの自動ローテーションなど、APIトークンに比べていくつかの利点があります。Admin Consoleから直接、Org2OrgアプリのプロビジョニングにOAuth 2.0の自動ローテーションを有効化できるようになりました。
「Okta Org2OrgをOktaと統合する」を参照してください。
Okta Privileged AccessでActive Directoryアカウントを管理する
この機能により、Okta AD Agentを使用してOkta Privileged Accessを通じてActive Directory(AD)アカウントパスワードを管理できます。管理者は、特定の組織単位(OU)内のアカウントに検出ルールを設定し、ユーザーアクセスのポリシーを作成して、チェックイン時またはスケジュールに従ってパスワードがローテーションされるようにできます。アクセス権を持つユーザーは、割り当てられたアカウントを表示し、パスワードを取得できます。この機能を有効にする場合は、Oktaサポートにお問い合わせください。「Active Directoryアカウントを管理する」を参照してください。
新しい本人確認プロバイダーの追加
OktaがIDプロバイダーとしてCLEAR Verifiedの使用をサポートするようになりました。これにより、ユーザーがオンボードやアカウントのリセットを行うときに、ユーザーのアイデンティティ検証に使用できる本人確認ベンダー(IDV)の数が増えます。「事前構成された本人検証ベンダーを追加する」を参照してください。
Okta Device Accessのカスタム管理者ロール
カスタム管理者ロールを構成して、Okta Device Access機能を表示および管理できるようになりました。この機能強化により、ITチームは、最も高いセキュリティ権限を必要とせずにOkta Device Access機能を効果的に管理できる管理者を指定できます。「macOCにDesktop MFAの復旧を有効にする」を参照してください。
本人確認用の新しいシステムログイベント
新たな「user.identity_verification」イベントは、ID検証ベンダー(IDV)によるID検証の結果(成功または失敗)を表示します。失敗した場合は、イベントにその理由も表示されます。
パスワード有効期限フローのOAMP保護
この機能により、Okta Account Managementポリシーでパスワード有効期限フローを保護すると、顧客orgのセキュリティポスチャが改善されます。パスワード有効期限フローには、orgのOkta Account Managementポリシーに定義された保証が必要になりました。「パスワードの有効期限を有効化する」を参照してください。
高度なデバイスポスチャーチェック
高度なポスチャチェックにより、ユーザーに拡張されたデバイス保証が提供されます。これにより、管理者はOktaの標準チェックを超えるカスタマイズされたデバイス属性に基づいてコンプライアンスを適用できるようになります。この機能は、osqueryを使用することで、macOSデバイス全体でのリアルタイムのセキュリティ評価を容易にします。そのため、orgはデバイス群の可視性と制御を強化し、信頼できるデバイスのみが機密リソースにアクセスするようにできます。「デバイス保証に高度なポスチャチェックを構成する」を参照してください。
SAP Netweaver ABAP用On-prem Connector
SAP NetWeaver ABAP用On-prem Connectorは、すぐに使用できるソリューションを提供し、SAPオンプレミスアプリをOkta Identity Governanceに接続します。これにより、Oktaで直接SAPエンタイトルメント(ロール)を検出、可視化、管理できます。この統合により、カスタム統合の必要性がなくなり、エンタイトルメント管理が合理化されることで、セキュリティの強化、時間の節約、ガバナンスの簡素化が実現します。
Universal Syncの新しい属性
Universal Syncでは、次の属性がサポートされるようになりました:AuthOrig、DLMemRejectPerms、DLMemSubmitPerms、UnauthOrig。
同期可能なパスキーをブロックする
認証中に同期可能なパスキーをブロックできるようになりました。以前は、登録中にのみブロックできました。これにより、ユーザーが同期可能なパスキーを提示して管理対象外の新しいデバイスを登録しようとすることを防ぎ、orgのセキュリティが強化されます。
アプリユーザーを非アクティブ化するためのセルフサービストグル
管理者はセルフサービストグルを使用して、Oktaユーザーの非アクティブ化時に個々のアプリ割り当てがどうなるのかを変更できるようになりました。有効にすると、ユーザーの個々のアプリの割り当てが一時停止ではなく非アクティブ化されます。ユーザーがOktaで再度アクティブ化されても、個々のアプリ割り当ては再アクティブ化されません。
切断されたアプリのエンタイトルメント対応
切断されたアプリとは、Okta内でLCM統合されていないアプリです。この機能を使用すると、CSVファイルを使用して、切断されたアプリからユーザーとエンタイトルメントをOktaにインポートできます。これにより、Oktaと完全に統合されていないアプリも含め、すべてのアプリで一貫したガバナンスとコンプライアンスが実現します。