制限事項

管理コンソールの次のClassic Engine機能は、変更されたか、Identity Engineではサポートされなくなりました。

開発者の方は、開発者向けの「Okta Identity Engineの制限事項」を参照してください。


機能変更点

アクティブ・エンドポイント

アクティブ・エンドポイント(Exchange ActiveSync認証またはレガシー認証とも呼ばれます)はサポート対象外です。

  • ジャストインタイム(JIT)ユーザーの作成:Oktaにまだ存在しないユーザーをオンプレミスのActive Directory(AD)またはLightweight Directory Access Protocol(LDAP)ディレクトリーから認証中にオンデマンドでインポートします。

  • 再アクティブ化:組織の設定がオンプレミスで再アクティブ化されたユーザーを自動的に再アクティブ化するように構成されている場合、非アクティブまたは一時停止中のユーザーがオンプレミスのADまたはLDAPディレクトリーでアクティブとしてマークされると、そのユーザーをオンデマンドで再アクティブ化します。

  • プロファイルの更新:AD AgentまたはLDAP Agentを呼び出して、オンプレミス・ディレクトリーからユーザーの最新プロファイル属性を認証中にOktaに読み込みます。

Identity Engineのエンド・ユーザーは、最初にブラウザーまたは新しいMSFTクライアントからサインインする必要があります。

「Office 365サインオン・ルールのオプション」

管理者が開始するWebAuthnの登録

管理者は、管理コンソールからエンド・ユーザーに代わってWebAuthnセキュリティー・キーを登録できません。

セキュリティー・キーまたは生体認証オーセンティケーターの構成

多要素認証登録ポリシーのアプリ条件

管理者は、特定のアプリケーションに多要素認証登録ポリシーを使用できません。多要素認証登録ポリシーはOktaにサインインするたびに評価され、必要なオーセンティケーターがまだ登録されていない場合は登録するようユーザーに求められます。

多要素認証登録ポリシーとルールについて

ユーザーが最後に使用した多要素認証の認証方法を自動的に選択する

エンド・ユーザーがOktaにサインインし、複数の認証方法から選択できる場合、使用可能なすべてのオプションがOktaに表示されます。ユーザーが最後に使用した認証方法は、Oktaに記憶されないようになりました。

埋め込みアプリ・リンクのカスタム・ログイン・ページ

埋め込みアプリ・リンクのカスタム・ログイン・ページを使用することはサポートされていません。アプリの埋め込みリンクをクリックしたユーザーが、組織のOktaサインオン・ポリシーによって評価されるようになりました。管理者は、Oktaでホストされるサインイン・ページをカスタマイズしたり、アプリのIdPルーティング・ルールを構成したりできます。

IDプロバイダーのルーティング・ルールおよび Oktaでホストされるカスタムのサインイン・ページを構成する

カスタム・パスワードの有効期限管理

ユーザーのDelAuthパスワードの有効期限が切れたときに、サインイン・ウィジェットにカスタム・メッセージを表示し、リダイレクトURLを表示する機能はサポートされていません。

一般的なカスタマイズ設定を構成する

要素としてのカスタムTOTP

登録またはサインインの要素として、カスタムの仮ワンタイム・パスワード(TOTP)を使用することはサポート対象外です。また、Okta Identity Engineでは、「要素」は「オーセンティケーター」と呼ばれます。

カスタム・ユーザー・エージェント

カスタム・ユーザー・エージェント(クライアント・アプリケーションとして)を使用したアプリ・サインオン・ポリシー・ルールは完全に移行されません。カスタム・ユーザー・エージェントは移行後に失われます。

「Office 365サインオン・ポリシーでカスタム・クライアントを許可または拒否する」

次回からこのデバイスでプロンプトを表示しない

多要素認証オーセンティケーターの[次回からこのデバイスでプロンプトを表示しない]チェック・ボックスは表示されなくなりました。代わりに、ユーザーが[サインインしたままにする]チェック・ボックスをオンにすると、この動作が発生します。

オプション要素としてのメール

オプション要素としてのメールはサポート対象外です。

統合Windows認証

統合Windows認証デスクトップのシングル・サインオンはサポート対象外です。組織は代わりにエージェントレス・デスクトップ・シングル・サインオンを使用する必要があります。

統合Windows認証からエージェントレス・デスクトップ・シングル・サインオンへ移行する

セルフサービスのパスワード・リセットまたはロック解除ページに直接リンクする

管理者は、セルフサービスのパスワード・リセットまたはアカウントのロック解除にユーザーを直接リンクするためのURLを提供できなくなりました。ユーザーはサインイン・ページに移動して、そこからリンクをたどる必要があります。

多要素認証の要素シーケンス

管理者がOktaサインオン・ポリシーで要素チェーンを構築する機能はサポート対象外です。代わりに、アプリのサインオン・ポリシーでパスワードなしの認証がサポートされるようになりました。

Okta FastPassを構成する およびパスワードなしの認証を構成する

Okta Mobile

エンド・ユーザーがOkta Mobileを使用してアプリにアクセスすることはできません。代わりに、モバイル・ブラウザーのOkta End-User Dashboardからアプリにアクセスできます。

Okta Mobility Management

Okta Mobility Managementはサポート対象外です。

多要素認証引き渡しクレーム

組織レベルの多要素認証要件は、多要素認証のクレームを渡すためのIdentity Engineの要件を満たしていません。多要素認証のアプリ・サインオン・ルールを設定する必要があります。

「Okta多要素認証を使用してOffice 365向けのAzure AD多要素認証の要件を満たす」

多要素認証引き渡しクレームの無限ループ

多要素認証の引き渡しクレームには本物の多要素認証(1つの知識要素と1つの所有要素)が必要です。SSOフローで多要素認証を完了しなかったために無限ループに陥った場合、ページを更新して別のブラウザーでサインインする必要があります。管理者はアプリのサインオン・ポリシーを確認して、多要素認証関連のルールが適切に設定されていることを確認する必要があります。

「Okta多要素認証を使用してOffice 365向けのAzure AD多要素認証の要件を満たす」

パスワード・ポリシーによって多要素認証登録ポリシーの設定が上書きされる場合がある

ユーザーがメール、電話、セキュリティー上の質問による認証でセルフサービスの復旧を実行できるパスワード・ポリシーを管理者が設定している場合、これらの追加オーセンティケーターの登録がユーザーの初回サインイン時に求められます。多要素認証登録ポリシーでこれらのオーセンティケーターが無効になっている場合でも、ユーザーは登録を求められます。メールおよびセキュリティー上の質問のオーセンティケーターが復旧用のパスワード・ポリシー・ルールで構成されている場合は、それらが求められます。電話は任意です。

多要素認証登録ポリシーとルールについて

個人ID検証

個人ID検証(スマート・カード)はサポート対象外です。

電話のロールバック動作

電話がオーセンティケーターとして登録されていて、管理者がClassic Engineにロールバックした場合、SMSと音声の両方を認証に使用できます。

RADIUSレガシー・モデル

RADIUSレガシー・モデルはサポート対象外です。

「RADIUSレガシー・モデル」

登録フック

管理コンソールでの登録インライン・フックの有効化が以前の[セルフサービス登録]ページ([セルフサービス・ディレクトリー] > [セルフサービス登録])から[プロファイル登録ルール]ページ([セキュリティー] > [プロファイル登録])に変わりました。登録インライン・フックの作成に変更はなく、管理コンソールまたはインライン・フック管理APIによって実行できます。

既存の登録インライン・フックでは、Okta登録インライン・フック要求の変更により、Identity Engineに移行した後に互換性の問題が生じる可能性があります。新しい要求形式を正しく使用するために、アプリケーション・コードの更新が必要になる場合があります。

プロファイル登録ポリシーを管理する

記憶する

[記憶する]チェック・ボックスが、ユーザーがサインイン状態を維持できるチェック・ボックスに変更されました。

一般的なセキュリティー

セキュリティー・イメージ

エンド・ユーザーが最初にアカウントを登録するときにセキュリティー・イメージを指定する機能は、Okta Identity Engineではサポート対象外です。さらに、既存のユーザーがすでにセキュリティー・イメージを登録している可能性がある場合でも、サインイン時にそのセキュリティー・イメージは表示されません。

セルフサービス登録

セルフサービス登録機能は利用できなくなりました。セルフサービス登録は現在、プロファイル登録ポリシーを介して実行されています。プロファイル登録ポリシーで管理者は、新しいエンド・ユーザーが[サインアップ]をクリックしたときに収集する属性を選択します。そのエンド・ユーザーがアプリへの認証を完了させるまでには、プロファイルが完成し、適切なグループにプロビジョニングされます。

プロファイル登録ポリシーを管理する

Okta O365からサインアウトする

Okta O365からのサインアウトはサポート対象外です。回避策はありません。Oktaの長期的なソリューションは、OpenID Connect、SAML、WS-Fed全体でシングル・ログアウト機能を使用することです。この機能はほとんど導入されていません。

オーセンティケーターとしてのSymantec VIP

登録またはサインインのオーセンティケーターとしてSymantec VIPを使用することはサポート対象外です。

オーセンティケーターとしてのYubiKey

ワンタイム・パスワード(OTP)モードでの登録またはサインインのオーセンティケーターとしてYubiKeyを使用することは、サポート対象外です。キーのシリーズによっては、YubiKey for WebAuthnがサポートされる場合があります。