制限事項
管理コンソールの次のClassic Engine機能は、変更されたか、Identity Engineではサポートされなくなりました。
開発者の方は、開発者向けの「Okta Identity Engineの制限事項」を参照してください。
| 機能 | 変更点 |
アクティブ・エンドポイント | アクティブ・エンドポイント(Exchange ActiveSync認証またはレガシー認証とも呼ばれます)はサポート対象外です。
Identity Engineのエンド・ユーザーは、最初にブラウザーまたは新しいMSFTクライアントからサインインする必要があります。 「Office 365サインオン・ルールのオプション」 |
管理者が開始するWebAuthnの登録 | 管理者は、管理コンソールからエンド・ユーザーに代わってWebAuthnセキュリティー・キーを登録できません。 |
多要素認証登録ポリシーのアプリ条件 | 管理者は、特定のアプリケーションに多要素認証登録ポリシーを使用できません。多要素認証登録ポリシーはOktaにサインインするたびに評価され、必要なオーセンティケーターがまだ登録されていない場合は登録するようユーザーに求められます。 |
ユーザーが最後に使用した多要素認証の認証方法を自動的に選択する | エンド・ユーザーがOktaにサインインし、複数の認証方法から選択できる場合、使用可能なすべてのオプションがOktaに表示されます。ユーザーが最後に使用した認証方法は、Oktaに記憶されないようになりました。 |
埋め込みアプリ・リンクのカスタム・ログイン・ページ | 埋め込みアプリ・リンクのカスタム・ログイン・ページを使用することはサポートされていません。アプリの埋め込みリンクをクリックしたユーザーが、組織のOktaサインオン・ポリシーによって評価されるようになりました。管理者は、Oktaでホストされるサインイン・ページをカスタマイズしたり、アプリのIdPルーティング・ルールを構成したりできます。 |
カスタム・パスワードの有効期限管理 | ユーザーのDelAuthパスワードの有効期限が切れたときに、サインイン・ウィジェットにカスタム・メッセージを表示し、リダイレクトURLを表示する機能はサポートされていません。 |
要素としてのカスタムTOTP | 登録またはサインインの要素として、カスタムの仮ワンタイム・パスワード(TOTP)を使用することはサポート対象外です。また、Okta Identity Engineでは、「要素」は「オーセンティケーター」と呼ばれます。 |
カスタム・ユーザー・エージェント | カスタム・ユーザー・エージェント(クライアント・アプリケーションとして)を使用したアプリ・サインオン・ポリシー・ルールは完全に移行されません。カスタム・ユーザー・エージェントは移行後に失われます。 「Office 365サインオン・ポリシーでカスタム・クライアントを許可または拒否する」 |
次回からこのデバイスでプロンプトを表示しない | 多要素認証オーセンティケーターの[次回からこのデバイスでプロンプトを表示しない]チェック・ボックスは表示されなくなりました。代わりに、ユーザーが[サインインしたままにする]チェック・ボックスをオンにすると、この動作が発生します。 |
オプション要素としてのメール | オプション要素としてのメールはサポート対象外です。 |
統合Windows認証 | 統合Windows認証デスクトップのシングル・サインオンはサポート対象外です。組織は代わりにエージェントレス・デスクトップ・シングル・サインオンを使用する必要があります。 |
セルフサービスのパスワード・リセットまたはロック解除ページに直接リンクする | 管理者は、セルフサービスのパスワード・リセットまたはアカウントのロック解除にユーザーを直接リンクするためのURLを提供できなくなりました。ユーザーはサインイン・ページに移動して、そこからリンクをたどる必要があります。 |
多要素認証の要素シーケンス | 管理者がOktaサインオン・ポリシーで要素チェーンを構築する機能はサポート対象外です。代わりに、アプリのサインオン・ポリシーでパスワードなしの認証がサポートされるようになりました。 |
Okta Mobile | エンド・ユーザーがOkta Mobileを使用してアプリにアクセスすることはできません。代わりに、モバイル・ブラウザーのOkta End-User Dashboardからアプリにアクセスできます。 |
Okta Mobility Management | Okta Mobility Managementはサポート対象外です。 |
多要素認証引き渡しクレーム | 組織レベルの多要素認証要件は、多要素認証のクレームを渡すためのIdentity Engineの要件を満たしていません。多要素認証のアプリ・サインオン・ルールを設定する必要があります。 「Okta多要素認証を使用してOffice 365向けのAzure AD多要素認証の要件を満たす」 |
多要素認証引き渡しクレームの無限ループ | 多要素認証の引き渡しクレームには本物の多要素認証(1つの知識要素と1つの所有要素)が必要です。SSOフローで多要素認証を完了しなかったために無限ループに陥った場合、ページを更新して別のブラウザーでサインインする必要があります。管理者はアプリのサインオン・ポリシーを確認して、多要素認証関連のルールが適切に設定されていることを確認する必要があります。 「Okta多要素認証を使用してOffice 365向けのAzure AD多要素認証の要件を満たす」 |
パスワード・ポリシーによって多要素認証登録ポリシーの設定が上書きされる場合がある | ユーザーがメール、電話、セキュリティー上の質問による認証でセルフサービスの復旧を実行できるパスワード・ポリシーを管理者が設定している場合、これらの追加オーセンティケーターの登録がユーザーの初回サインイン時に求められます。多要素認証登録ポリシーでこれらのオーセンティケーターが無効になっている場合でも、ユーザーは登録を求められます。メールおよびセキュリティー上の質問のオーセンティケーターが復旧用のパスワード・ポリシー・ルールで構成されている場合は、それらが求められます。電話は任意です。 |
個人ID検証 | 個人ID検証(スマート・カード)はサポート対象外です。 |
電話のロールバック動作 | 電話がオーセンティケーターとして登録されていて、管理者がClassic Engineにロールバックした場合、SMSと音声の両方を認証に使用できます。 |
RADIUSレガシー・モデル | RADIUSレガシー・モデルはサポート対象外です。 |
登録フック | 管理コンソールでの登録インライン・フックの有効化が以前の[セルフサービス登録]ページ([セルフサービス・ディレクトリー] > [セルフサービス登録])から[プロファイル登録ルール]ページ([セキュリティー] > [プロファイル登録])に変わりました。登録インライン・フックの作成に変更はなく、管理コンソールまたはインライン・フック管理APIによって実行できます。 既存の登録インライン・フックでは、Okta登録インライン・フック要求の変更により、Identity Engineに移行した後に互換性の問題が生じる可能性があります。新しい要求形式を正しく使用するために、アプリケーション・コードの更新が必要になる場合があります。 |
記憶する | [記憶する]チェック・ボックスが、ユーザーがサインイン状態を維持できるチェック・ボックスに変更されました。 |
セキュリティー・イメージ | エンド・ユーザーが最初にアカウントを登録するときにセキュリティー・イメージを指定する機能は、Okta Identity Engineではサポート対象外です。さらに、既存のユーザーがすでにセキュリティー・イメージを登録している可能性がある場合でも、サインイン時にそのセキュリティー・イメージは表示されません。 |
セルフサービス登録 | セルフサービス登録機能は利用できなくなりました。セルフサービス登録は現在、プロファイル登録ポリシーを介して実行されています。プロファイル登録ポリシーで管理者は、新しいエンド・ユーザーが[サインアップ]をクリックしたときに収集する属性を選択します。そのエンド・ユーザーがアプリへの認証を完了させるまでには、プロファイルが完成し、適切なグループにプロビジョニングされます。 |
Okta O365からサインアウトする | Okta O365からのサインアウトはサポート対象外です。回避策はありません。Oktaの長期的なソリューションは、OpenID Connect、SAML、WS-Fed全体でシングル・ログアウト機能を使用することです。この機能はほとんど導入されていません。 |
オーセンティケーターとしてのSymantec VIP | 登録またはサインインのオーセンティケーターとしてSymantec VIPを使用することはサポート対象外です。 |
オーセンティケーターとしてのYubiKey | ワンタイム・パスワード(OTP)モードでの登録またはサインインのオーセンティケーターとしてYubiKeyを使用することは、サポート対象外です。キーのシリーズによっては、YubiKey for WebAuthnがサポートされる場合があります。 |