Okta Identity Engineリリースノート（プレビュー）

最新リリース
Preview orgの機能

バージョン：2025.09.0

2025年9月

一般提供

パートナー管理者ポータルの翻訳更新

ユーザーを追加およびユーザーを編集のフォームで日本語翻訳が更新されました。この変更により、日本語ラベルが英語ラベルと一致するようになりました。

特定のロールに付与されたエージェントを管理する権限

アプリケーションとその詳細情報を表示権限のあるカスタム管理者ロールは、エージェントを管理する権限を持つようになりました。これは、Oktaが今後のリリースで2つの権限を分離する上で役立つ一時的な変更です。「ロールの権限」を参照してください。

アクセスリクエストのユーザーエクスペリエンスの改善

アクセスリクエストの詳細ページが改善され、承認者が割り当てられたタスクと要求者が送信した回答がよりわかりやすくなりました。SlackまたはTeamsをアクセスリクエストと統合した場合、承認者が受け取るアクセスリクエストメッセージに同様の変更が加えられました。さらに、メール通知送信者の名前とアドレスが変更されました。送信者の名前はOkta Access Requests、メールアドレスはnoreply@at.okta.comです。

Okta Provisioning AgentとSDKの新しいバージョン

Okta Provisioning Agent 3.0.3とOkta Provisioning Agent SDK 2.4.0が利用可能になりました。これらのリリースには、バグ修正と軽微な改善が含まれます。

パートナー管理者ポータルでの検索の改善

パートナー管理者ポータルのユーザーリストが、デフォルトで［最終更新日］列で降順に並べ替えられるようになりました。検索機能では、3文字以上に対してContains演算子を使用します。

Org2Org OIDCサインオンモード

Org2Orgアプリに、Okta Integration IdPを使用したOIDCサインオンモードが含まれるようになりました。このサインオンモードにより、Org2Orgアプリとターゲットorg間の構成の複雑さが軽減され、OIDCの最新のセキュリティ機能を利用できるようになります。「Okta Org2OrgをOktaと統合する」を参照してください。

デバイス保証のOSバージョン更新

デバイス保証ポリシーで、次のOSバージョンがサポートされるようになりました。

Android 13、14、15、16セキュリティパッチ2025-09-01
iOS 18.6.2
iOS 26.0.0（メジャーバージョン）
macOS Ventura 13.7.8
macOS Sonoma 14.7.8
macOS Sequoia 15.6.1
macOS Tahoe 26.0.0（メジャーバージョン）
Windows 10（10.0.17763.7678、10.0.19044.6216、10.0.19045.6216）
Windows 11（10.0.22621.5768、10.0.22631.5768、10.0.26100.4946）

次のバージョンはサポートされなくなりました。

iOS 15.8.4
iOS 16.7.11
macOS 12.7.6
Windows 11（10.0.22000.3260）

コンテンツセキュリティポリシーにnonce提供開始

Oktaは、htmlコンテンツを返すすべてのエンドポイントに対して、コンテンツセキュリティポリシーのstyle-srcディレクティブにnonceの提供を開始します。これは2段階のプロセスです。まず、nonceをContent-Security-Policy-Report-Onlyヘッダーstyle-srcディレクティブに追加します。次に、安全でないインラインインスタンスが識別され修正された後、nonceがContent-Security-Policyヘッダーstyle-srcディレクティブに追加されます。この更新は、すべてのエンドポイントに段階的に適用されます。

これらの更新は、Oktaドメインと、管理者がカスタマイズできないカスタムドメインページ（カスタムドメインのサインインページやエラーページなど）に適用されます。「エラーページをカスタマイズする」を参照してください。

リアルタイム更新によるインポートモニタリングの強化

インポートモニタリングダッシュボードから、インポートについてリアルタイムの進行状況を確認できるようになりました。これにより、現在処理中のデータチャンクの数など、進行中のインポートについて現在のステータスに対する可視性が高まります。

GZIP形式でAdmin Consoleレポートをエクスポートする

ほとんどのAdmin Consoleレポートを、既存のCSV形式に加えてGZIP形式でエクスポートできるようになりました。GZIPでのエクスポートは、行制限が高く（3,000万）、ファイルサイズは小さいです。

APIサービスアプリ

APIサービスアプリは、作成時に共有されたデフォルトのアプリサインインポリシーに割り当てられなくなりました。「アプリ・サインイン・ポリシー」を参照してください。

Okta Expression Languageでのユーザーステータス

Okta Expression Languageでユーザーステータスを参照できるようになりました。グループルールでユーザーステータスを利用して、グループメンバーシップを推進することができます。

SharePointオンプレミス統合によるSHA-256のサポート

SharePoint統合（WS-Fed）では、認証トークンの署名にSHA-256が使用されるようになりました。

Admin Consoleでのレルムの更新

ユーザーを追加フォームのレルムドロップダウンのヒントテキストが更新され、手順が明確になりました。

OINカタログのセキュリティアイデンティティ統合

アプリ統合カタログを参照ページに、セキュリティアイデンティティ統合の新しいチェックボックス3つ（［セキュリティアイデンティティ統合 - 基本］、［セキュリティアイデンティティ統合 - 高度］、［セキュリティアイデンティティ統合 - 戦略的］）が表示されるようになりました。1つ選択すると、OINカタログにその特定の機能を持つアプリのみが表示されます。

Okta Integration IdPタイプ

Okta統合IdPを使用すると、Okta orgを外部IdPとして使用でき、構成を簡素化して安全なデフォルトを提供できます。「Okta統合IDプロバイダーを追加する」を参照してください。

新しいシステムログターゲット

認証登録ポリシーのターゲットが、「policy.evaluate_sign_on」システムログイベントに追加されました。この変更により、管理者はユーザーのサインイン試行に関係したポリシーを識別しやすくなります。

Microsoft Entra IDの外部認証方法としてのOkta

Okta多要素認証（MFA）を使用して、Microsoft Entra IDのMFA要件を満たします。これにより、ユーザーは二重認証を回避し、OktaとMicrosoft 365アプリ間でシームレスなエクスペリエンスが提供されます。「OktaをMicrosoft Entra IDの外部認証方法として構成する」を参照してください。

Universal Directoryマップのトグル

新しいUniversal Directory （UD）マップのトグルを使用すると、管理者はユーザーのメールアドレスをユーザーIDにリンクできます。これにより、管理者はセルフサービス登録機能を有効化できます。「一般的なセキュリティ」を参照してください。

エンドユーザー向けの新しいパスワード変更機能

［自分の設定］の［セキュリティ方式］ページで、エンドユーザーがパスワードを変更できるようになりました。

Android向けDevice Trustによるデバイス保証の強化

デバイス保証のAndroid向けDevice Trust統合により、Androidデバイスのセキュリティ対策を評価および適用する機能が強化されます。Play IntegrityのステータスやWi-Fiセキュリティのチェックなど、追加のセキュリティ設定が導入されます。この統合により、デバイスコンプライアンスが強化される一方、モバイルデバイス管理（MDM）の必要性がなくなり、orgはAndroidエンドポイントのセキュリティ保護をより柔軟に行うことができます。「OktaをAndroid向けDevice Trustと統合する」を参照してください。

早期アクセス

Windows向けDesktop MFAの復旧

このリリースでは、WindowsでのDesktop MFA機能が強化され、管理者が支援する復旧パスが含まれています。ユーザーがWindowsデバイスからロックアウトされた場合、管理者は時間ベースの復旧PINを発行できるようになりました。これにより、ユーザーはプライマリMFAデバイスを必要とせずにコンピューターに一時的にアクセスでき、Authenticatorの問題を解決して正常にサインインできるようになります。「WindowsにDesktop MFAの復旧を有効にする」を参照してください。

エンドユーザーによる管理証明の修復

この機能強化は、すべてのOSプラットフォームの管理証明にOktaのカスタムエラー修復を拡張することで、修復を改善するものです。管理者は、管理チェックに失敗するデバイスに対して特定の修復メッセージを作成できるようになりました（デバイスがMDM管理対象外の場合など）。ユーザーはサインインフロー時に明確で実行可能な修復手順を受け取り、自分で問題をトラブルシューティングすることができます。これにより、ITヘルプデスクのチケットが減り、迅速かつ安全なアクセスが実現して、ユーザーエクスペリエンスが向上します。「デバイス保証の修復メッセージ」を参照してください。

本人確認のマッピングに利用できるUniversal Directory属性の追加

管理者は、本人確認（IDV）ベンダーに検証クレームを送信する際に、さらに多くのUniversal Directory属性をマッピングできるようになりました。これにより、検証の精度が向上し、管理者はIDVベンダーに送信される属性を制御できます。「本人確認ベンダーをIDプロバイダーとして追加する」を参照してください。

パスキーとセキュリティキーのサブドメインサポート

Oktaでは、Okta orgまたはカスタムドメイン、およびその下位のすべてのサブドメインのパスキーまたはセキュリティキーを使用してユーザーが認証できるようになりました。これにより、フィッシング耐性のある認証が実現でき、アクセスドメインごとに各ユーザーに複数のパスキーやセキュリティキーを発行する必要がなくなります。「FIDO2（WebAuthn）Authenticatorを構成する」を参照してください。

グループおよびグループメンバーシップ向けAnything-as-a-Source

Anything-as-a-Source（XaaS）機能により、顧客はOktaでカスタムIDソースを使用することができます。XaaSを利用すると、カスタムHRアプリまたはカスタムデータベースに接続して、OktaのUniversal Directoryにユーザーを取り込むことができます。

このリリースでは、グループとグループメンバーシップに関するXaaS機能が提供され、顧客はXaaSでグループの取り込みを開始することができます。Oktaでは、XaaS APIを使用して、任意のIDソースからユーザーの作成と更新、グループの作成と更新、OktaのUniversal Directoryへのグループメンバーシップの管理を行えるようになりました。「Anything-as-a-Source」を参照してください。

修正事項

一部のユーザーで、Okta Verifyがインストールされていないモバイルデバイスでパスワードをリセットすると、パスワードのリセットが完了していても、エラーメッセージが表示されました。（OKTA-958340）
Okta Org2Org統合の一部のorgでは、アプリの使用権限があるにもかかわらず、スポークorgからブックマークアプリまたはOrg2Orgアプリにアクセスできないユーザーがいました。（OKTA-981462）
［ユーザーによる列挙の防止］がオフになっている場合、一部のユーザーにアカウントロック解除チャレンジではなくエラーメッセージが表示されていました。（OKTA-993341）
パートナー管理者ポータルのサイドバーで、矢印アイコンが正しく配置されていませんでした。（OKTA-1003466）

Okta Integration Network

AmexGBT Egenciaに、アプリ名、アイコン、SAML統合に関する新しいガイドがあります。詳細を確認してください。
ZAMP（OIDC）に新しいリダイレクトURIが2つあります。詳細を確認してください。
Harmony（APIサービス統合）が利用可能になりました。詳細を確認してください。
Shift Security（APIサービス統合）が利用可能になりました。詳細を確認してください。
Team Finance（OIDC）が利用可能になりました。詳細を確認してください。
Island（Universal Logout）が利用可能になりました。詳細を確認してください。
CloudEagle（APIサービス統合）が更新されました。
Bruinが更新されました。
EventNeat（OIDC）が利用可能になりました。詳細を確認してください。
AdvancedMDが更新されました。
Nuclei（OIDC）が利用可能になりました。詳細を確認してください。
FloQast（SCIM）が利用可能になりました。詳細を確認してください。
Astrix Security Monitoring（APIサービス統合）が利用可能になりました。詳細を確認してください。
Scrut Automation（OIDC）に新しいリダイレクトURIがあります。
Canva（SWA）が更新されました。
eSignon（SAML）が利用可能になりました。詳細を確認してください。
eSignon（SCIM）が利用可能になりました。詳細を確認してください。
AmexGBT Egencia（SCIM）が利用可能になりました。詳細を確認してください。

プレビュー機能

表示されるグループメンバーシップの最大数の増加

非常に大きなグループのグループページに表示されるメンバーシップ数の最大値が100万件以上になりました。この数値をクリックすると、正確な数が表示されます。数値は2時間キャッシュされます。「グループメンバーの表示」を参照してください。

Workdayによる増分インポートのサポート

Workdayに増分インポートを直ちに実行する機能が加わりました。増分インポートはフルインポートよりもはるかに速いです。ただし、ユーザーがカスタム属性のみを変更した場合は検出されないため、これらの変更を取得するには定期的にフルインポートを実行する必要があります。「増分インポート」を参照してください。

Okta FastPassの同一デバイス登録

Okta FastPassを使用しているorgで、Okta Verifyの登録プロセスが合理化されました。 - ユーザーは現在使用しているデバイスで登録を開始および完了できます。以前は、アカウントをセットアップするには2つの異なるデバイスが必要でした。 - ユーザーは登録時にorgのURLを入力する必要がなくなりました。 - 登録フローの手順が少なくなりました。この機能は、Android、iOS、macOSデバイスでサポートされています。

Admin Consoleへの新規の単一要素アクセスを防止する

この機能は、Admin Consoleへの単一要素アクセスを管理者が構成できないようにします。この機能は現在、新しいorgにのみ利用できます。

アプリケーションエンタイトルメントポリシー

管理者は、アプリを個人またはグループに割り当てる際に属性マッピングを上書きできるようになりました。また、属性をデフォルトのマッピングに戻すこともできます。「アプリケーション属性マッピングを上書きする」を参照してください。この機能は、すべてのorgで段階的に利用できるようになります。

ニックネーム要素のエンドユーザー設定

エンドユーザーは、電話、WebAuthn、Okta Verifyの要素にニックネームを付けられるようになりました。1つの要素のインスタンスを複数登録している場合は、ニックネームを付けると要素をすぐに識別しやすくなります（例：「自分の個人携帯電話」または「自分のオフィス用MacBook TouchID」）。「エンドユーザー向けドキュメント」を参照してください。これはセルフサービスの機能です。

エンドユーザーページでコンテンツセキュリティーポリシーを適用する

コンテンツセキュリティーポリシーが、カスタマイズ不可のページでカスタムドメインがあるorgのエンドユーザーページに適用されるようになりました。コンテンツセキュリティーポリシーのヘッダーにより、ブラウザーでWebページが実行できるアクションの種類を確実に認識できるようにすることで、クロスサイトスクリプトやデータインジェクションといった攻撃を検出できる追加のセキュリティーレイヤーを提供します。昨年から管理者ページにはポリシーがすでに適用され、エンドユーザーページに対してもレポートのみのモードに適用されています。今後もエンドユーザーページに対するコンテンツセキュリティーポリシーの適用を繰り返し行っていくことで、この最初のリリースよりも厳格にしていく予定です。

この機能は、すべてのorgで段階的に利用できるようになります。

システムログイベントの詳細

Oktaがセキュリティ脅威を特定すると、結果のシステムログエントリ「security.threat.detected」にイベントの詳細な理由が提供されるようになりました。「システムログ」を参照してください。

新しい柔軟なLDAP

新しいLDAPスキーマでは、メールをカスタムスキーマに移動し、名、姓、ユーザー名、UIDを任意にすることで柔軟性が向上します。これにより、LDAPスキーマに特定の属性が含まれていない場合のエラーシナリオを回避できます。

ThreatInsightのコアOkta APIエンドポイントでの対象範囲

Okta ThreatInsight対象範囲が、コアOkta APIエンドポイントに利用できるようになりました。

Okta ThreatInsightは、ヒューリスティックスと機械学習モデルに基づいて、Oktaの顧客ベース全体で悪意のあるアクティビティを一貫して示すIPアドレスのリストを更新して維持します。Okta orgにOkta ThreatInsightが有効化されている場合、これらの不正なIPアドレスからのリクエストはブロックされるか、さらに分析するために昇格されます。これまで、Okta ThreatInsightの対象範囲は、Okta認証エンドポイント（登録エンドポイントと復旧エンドポイントを含む）にのみ適用されていました。本リリースでは、認証エンドポイントに強化された攻撃パターンが検出され、非認証エンドポイントにも制限された攻撃パターンが検出されます。既存のOkta ThreatInsight構成に変更はありません。ログとブロックモード、ログモード、および除外ネットワークゾーンを使用しても、Okta ThreatInsightを有効化できます。高脅威のsecurity.threat.detectedイベントに対して、Negative IP Reputationの新しい理由が利用可能になりました。「Okta ThreatInsightのシステムログイベント」を参照してください。

SSOアプリのダッシュボードウィジェット

SSOアプリの新しいウィジェットには、選択した期間におけるorgの各アプリでのユーザーサインインイベント数が表示されます。これを使用すれば、最も頻繁に使用されるアプリを確認し、org全体の認証アクティビティを簡単に監視できます。

システムログのメール失敗イベント

管理者はシステムログでメール配信失敗イベントを表示できるようになりました。これにより、管理者がorg内のメールイベントアクティビティを適切に監視できるようになります。「システムログ」を参照してください。

セルフサービスロック解除プロセスの改善

以前のバージョンのセルフサービスロック解除（SSU）フローでは、エンドユーザーエクスペリエンスで不要な摩擦が発生していました。新しく強化されたSSU機能により、アカウントのロック解除メールにシームレスなマジックリンクエクスペリエンスが導入されます。ユーザーは、同じブラウザーを使用する場合は同意を提供する必要がなくなりました。さらに、アカウントのロック解除に成功した後、Eメールマジックリンクのクリックもアプリケーションの保証ポリシーに反映されるようになりました。保証要件が満たされた後、ユーザーはアプリケーションに直接サインインします。

セルフサービス登録エクスペリエンスの改善

セルフサービス登録（SSR）フローの以前のバージョンでは、複雑な一連のテンプレートを使用して、アクティベーションメールをエンドユーザーに送信していました。これは、簡素化されたSSRフローにより、カスタマイズされたウェルカムメッセージを含む2つのメールテンプレートのみに削減されます。アプリケーションでエンドユーザーのメールアドレスをすぐに確認する必要がある場合、Oktaでは［Registration - Activation（登録 - アクティベーション）］テンプレートを使用します。このテンプレートには、よりスムーズなサインインエクスペリエンスのためのマジックリンクが含まれています。アプリケーションへのサインインにメール確認がすぐに必要でない場合、Oktaは登録 - メール確認テンプレートを使用します。このテンプレートには、エンドユーザーがアプリケーションに正常にサインインした後に随時メール確認を完了するためのリンクが含まれています。

Office 365サインオンポリシーに追加のフィルターを選択する

管理者がアプリサインオンポリシーを作成するときに、Webブラウザーとモダン認証クライアントを区別できるように、フィルターが追加されました。

デバイス認可の付与タイプ

インターネット技術の進歩により、スマートデバイスやIoT（Internet of Things）が急増しています。消費者はこれらのデバイスで実行されるアプリケーションにサインインする必要がありますが、スマートTV、車のコンソール、サーモスタットなどのデバイスではWebブラウザーがサポートされていないか、入力機能が制限されています。その結果、ユーザーはエラーが発生しやすく時間のかかる、安全でない認証ソリューションを利用することになります。

デバイス認可付与機能はOAuth 2.0の付与タイプで、入力に制約のあるデバイスだけでなく、Webブラウザーのないデバイスにもサインインできます。この機能により、ユーザーはラップトップや携帯電話などのセカンダリデバイスを使用して、そのようなデバイスで実行されるアプリケーションへのサインインを完了することができます。