Okta Identity Engineリリースノート(プレビュー)
バージョン:2026.05.0
2026年5月
一般利用可能
Workdayのエンタイトルメント管理
管理者は、OktaでWorkdayアプリインスタンスのエンタイトルメントを管理できるようになりました。この機能により、ユーザーベースのセキュリティグループの検出とガバナンスが可能になり、自動化されたアクセスリクエストと認証が有効になります。
レポートのエクスポート
次のレポートを生成するときに、CSVとGZIPのエクスポート形式を選択できるようになりました。
- Okta使用状況
- アプリケーション使用状況
- MFA使用状況
SaaSとOktaサービスアカウントの保護
Okta Privileged Accessを使用して、SaaSアプリのサービスアカウントとOktaのサービスアカウントのパスワードを管理して保護することができます。新しいサービスアカウント権限をカスタムロールに割り当てて、サービスアカウント管理の職務をスーパー管理者以外に委任できるようになりました。「サービスアカウントを管理する」および「ロールの権限」を参照してください。
アクセスリクエスト条件の説明を追加する
アプリ、コレクション、Okta管理者ロールバンドルのアクセスリクエスト条件に説明を追加できるようになりました。これらの説明は、Access Requestsタブの条件の名前の横に表示され、各条件の具体的な目的が理解しやすくなります。「アクセスリクエスト条件を作成する」を参照してください。
Slackリソースサーバーコネクター
Slackリソースサーバーコネクターを使用して、SlackとAIエージェントの間にリソース接続を作成できるようになりました。「リソースサーバーコネクターを設定する」を参照してください。
ユーザーパスワード変更後のセッション保持
ユーザーがパスワードを変更し、[他のすべてのデバイスからサインアウトする]を選択した場合、他のアクティブなセッションが取り消された後も、Oktaは現在のセッションを保持するようになりました。
未構成の識別子のSystem Logイベント
Active DirectoryでJITが有効になっていて、ユーザーが未構成の識別子で認証した場合、イベントがSystem Logに表示されるようになりました。
AD移行の進行状況のCSVレポートが利用可能
CSVレポートをダウンロードして、特定のユーザーのパスワード移行を表示できるようになりました。このレポートでは、パスワードが正常に移行されたか、特定のエラーが発生したかなど、各ユーザーの移行ステータスの詳細が示されます。「パスワード移行を監視する」を参照してください。
DirSyncインポートのSystem Logイベント
DirSyncベースのインポートでActive Directoryエージェントの互換性を検証した場合、イベントがSystem Logに表示されるようになりました。
一致するネットワークゾーン向けの新しいSystem Logフィールド
Oktaは、System Logイベントにより詳細なネットワークゾーン一致情報を含めるようになりました。リクエストがネットワークゾーンによってブロックされた(security.request.blocked)、またはサインオンポリシーに照らして評価された(policy.evaluate_sign_on)場合、System Logに、新しいZoneIdMatchおよびZoneNameMatchフィールドから、IPゾーン、動的ネットワークゾーン(DNZ)、および拡張動的ネットワークゾーン(EDNZ)全体で一致したすべてのネットワークゾーンの名前とIDが表示されるようになりました。イベントごとに最大10件の一致ゾーンが報告されます。
これらの新しいフィールドは、既存のClient.Zoneフィールドよりも詳細で、構造化されたネットワークゾーンコンテキストを提供します。これにより、管理者とセキュリティチームは、ブロックされたリクエストとポリシー評価に関する詳細で実行可能な情報を把握できるため、SIEMの調査と監査のレビューが大幅に容易になります。「System Logを使用してネットワークゾーンの問題をトラブルシューティングする」を参照してください。
SHA-256ダイジェストアルゴリズムのサポート
外部IdPに送信されるSAML AuthnRequestをハッシュする場合に、OktaはSHA-256ダイジェストアルゴリズムをサポートするようになりました。
パスキー(FIDO2 WebAuthn)Authenticatorのデフォルト設定の更新
WebAuthn Authenticatorの構成は、すべてのorgでは[推奨されるユーザー検証]に設定され、新しいorgでは[パスキー]に設定されます。これらの更新により、手動での構成が削減され、シームレスな登録プロセスが確保され、さまざまなデバイスのユーザーに対してより信頼できるサインインエクスペリエンスが提供されます。
ADからOktaへのユーザーパスワード移行
ユーザーまたは運用を中断することなく、ADからOktaにユーザーパスワードをシームレスに移行できます。これにより、Oktaがユーザーパスワードの信頼できるソースとして確立され、Oktaがユーザー認証を処理できるようになり、委任認証が不要になります。「ADからOktaへのパスワード移行」を参照してください。
Active DirectoryのDirSyncによるグループインポート
Active Directory(AD)統合のプロビジョニングタブに、DirSyncを使用したADによるインポートを有効にするチェックボックスが追加されました。チェックボックスを有効にすると、管理者はDirSyncを使用してグループの増分インポートを実行できます。「Active Directoryのインポートとアカウントの設定を構成する」を参照してください。
早期アクセス
サードパーティおよびOrg2Org IdPのGlobal Token Revocation
Oktaは、サードパーティおよびOrg2OrgのIDプロバイダー(IdP)のGlobal Token Revocation(GTR)をサポートするようになりました。この機能を使用すると、外部IdPはUniversal Logoutを安全にトリガーし、アプリのエコシステム全体ですべてのユーザーセッションとトークンを即座に取り消すことができます。「対応アプリにUniversal Logoutを構成する」を参照してください。
再認証のためにフェデレーションユーザーをIdPにリダイレクトする
IdPへの再認証により、Okta管理者は、ポリシーによって再認証が求められたときにフェデレーションユーザーをソースSAML、OIDC、またはOrg2Org IdPにリダイレクトすることで、フェデレーションのIDを保護できます。管理者はソースIdPで再認証を強制することで、長期有効のセッションのセキュリティギャップが解消され、Oktaで重複するMFA登録を構成する必要がなくなります。「再認証のためにフェデレーションユーザーをIdPにリダイレクトする」を参照してください。
メールの自動登録と復旧の管理
管理者は、Authenticatorとしてのメールの自動登録を制御し、メールがAuthenticatorでない場合のメールベースのパスワード復旧、ロック解除、変更を構成できます。
Android向け管理対象アプリ保証
デバイス保証ポリシーの新しいデバイスプロファイル制限条件により、Androidユーザーは、Okta Verifyがインストールされているのと同じ管理対象ワークプロファイルからのみ保護対象アプリにアクセスできるようになります。これにより、個人プロファイルからのアクセスを防止して、データ漏洩のリスクを軽減し、セキュリティポスチャを改善できます。「デバイス保証ポリシーを追加する」を参照してください。
デバイスバウンドSSOでのプラットフォームSSOのパスワード統合
プラットフォームSSOのパスワード認証方式が、デバイスバウンドSSOに統合されました。ユーザーがmacOSサインインウィンドウでサインインすると、Oktaはパスワード要素を確認し、デバイスバウンドセッションを作成します。これによりユーザーは、追加のパスワードプロンプトを表示することなく、ブラウザーでOktaで保護されたアプリにアクセスできます。このEA機能のドキュメントは、macOS 9.63向けのOkta Verifyアプリのリリース後に利用可能になります。
プラットフォームSSO向けのSecure Enclaveキーのサポート
プラットフォームSSOが、デバイスバウンドSSOと統合するSecure Enclaveキーベースの認証方法をサポートするようになりました。ユーザーがmacOSサインインウィンドウでパスワードを使用して認証すると、認証によってSecure Enclaveに保存されたハードウェアに紐づいた暗号化キーのロックが解除されます。Oktaはキーを使用して、MFAプロンプトを繰り返さずに、ユーザー検証を備えたOkta FastPassを必要とする認証ポリシーを満たすデバイスバウンドセッションを作成します。このEA機能のドキュメントは、macOS 9.63向けのOkta Verifyアプリのリリース後に利用可能になります。
AIエージェントを検知・検出する
Security Access MonitorブラウザープラグインとOkta Identity Security Posture Management(ISPM)を使用して、アプリへの新しいOAuth付与と、その結果orgで使用されるシャドーAIエージェントの状況を可視化します。プラグインは、管理対象ブラウザーでアプリへの新しいOAuth付与とAIエージェントを監視します。ISPMは、OAuth付与テレメトリを取得してデータを分析し、ユーザーが認可するすべてのサードパーティアプリを特定するために必要な可視性を提供します。これにより、シャドーOAuth付与とAIエージェントに関連するリスクを軽減できます。プラグインを構成すると、ISPMコンソールのページに移動して、org全体の新しいOAuth付与をすべて確認できます。「AIエージェントを検知して評価する」を参照してください。
修正事項
-
ADエージェントを非アクティブ化すると、エージェントのバージョンの誤った形式が表示されていました。(OKTA-1117122)
-
一部のユーザーに適用されたグローバルセッションポリシーが削除された場合、一部のユーザーはサインインできませんでした。(OKTA-1131197)
-
user.session.context.changeイベント後、ITPポリシーの再評価時に、Oktaで定義された任意のネットワークゾーンで構成された一部のグローバルセッションおよびアプリサインインポリシールールが一致していませんでした。(OKTA-1151868) -
アプリ認証ポリシーでサインインしたままにするプロンプトが有効になっている場合、ユーザーがセルフサービスによるパスワードのリセットを完了した後に、Sign-In Widgetにエラーが表示されていました。(OKTA-1152243)
-
AMR claimの更新がSalesforce(フェデレーションID)アプリ統合に適用されていませんでした。(OKTA-1164030)
-
ロール別の管理者の割り当てページで、ロールをプレビューペインに、クライアント資格情報を表示権限の代わりに、「L10N_ERROR[okta.apps.clientCredentials.read.name.code]」が表示されていました。(OKTA-1166616)
Okta Integration Network
-
Asset Integrity for Pipelines(OIDC)が利用可能になりました。詳細を確認してください。
-
CJ Affiliate(OIDC)が利用可能になりました。詳細を確認してください。
-
Conduit Security(OIDC)が利用可能になりました。詳細を確認してください。
-
Form(OIDC)が利用可能になりました。詳細を確認してください。
-
Harmony(SAML)が利用可能になりました。詳細を確認してください。
-
Harmony(SCIM)が利用可能になりました。詳細を確認してください。
-
Haystack(SCIM)が利用可能になりました。詳細を確認してください。
-
JumpCloud(OIDC)が利用可能になりました。「JumpCloud」を参照してください。
-
LinkedIn Sales Navigator(SCIM)が利用可能になりました。詳細を確認してください。
-
Magnite Streamr(OIDC)が利用可能になりました。詳細を確認してください。
-
Matik(SAML)が利用可能になりました。詳細を確認してください。
-
Matik(SCIM)が利用可能になりました。詳細を確認してください。
-
Syndio(OIDC)が利用可能になりました。詳細を確認してください。
-
Tandem Health(OIDC)が利用可能になりました。詳細を確認してください。
-
Ternary(OIDC)が利用可能になりました。詳細を確認してください。
-
ThoughtSpot(OIDC)が利用可能になりました。「ThoughtSpot OIDC統合を作成する」を参照してください。
-
TOPdesk Operator by FuseLogic(エンタイトルメント管理)が利用可能になりました。詳細を確認してください。
-
Truepic Vision(OIDC)が利用可能になりました。詳細を確認してください。
-
WideField Security - 検出および修正(API統合)が利用可能になりました。詳細を確認してください。
-
YipitData Agent(OIDC)が利用可能になりました。詳細を確認してください。
-
Yunu(OIDC)が利用可能になりました。詳細を確認してください。
-
Console(APIサービス)のアイコンと説明が新しくなりました。
-
Console(OIDC)のアプリの説明が新しくなりました。
-
Sastrufyのアプリ名と構成ガイドが新しくなりました。
-
Software Analytics(OIDC)のアプリ名(Antenna)が新しくなり、アイコン、説明、新しいリダイレクトURI、および統合ガイドがあります。詳細を確認してください。
-
Suger(OIDC)のリダイレクトURIが新しくなりました。
-
Matik(Basic認証)が更新されました。
-
Metlife MyBenefits(SWA)が更新されました。
-
TOPdesk Operator by FuseLogic(SCIM)が更新されました。
プレビュー機能
SaaSとOktaサービスアカウントの保護
Okta Privileged Accessを使用して、SaaSアプリのサービスアカウントとOktaのサービスアカウントのパスワードを管理して保護することができます。新しいサービスアカウント権限をカスタムロールに割り当てて、サービスアカウント管理の職務をスーパー管理者以外に委任できるようになりました。「サービスアカウントを管理する」および「ロールの権限」を参照してください。
AD移行の進行状況のCSVレポートが利用可能
CSVレポートをダウンロードして、特定のユーザーのパスワード移行を表示できるようになりました。このレポートでは、パスワードが正常に移行されたか、特定のエラーが発生したかなど、各ユーザーの移行ステータスの詳細が示されます。「パスワード移行を監視する」を参照してください。
一致するネットワークゾーン向けの新しいSystem Logフィールド
Oktaは、System Logイベントにより詳細なネットワークゾーン一致情報を含めるようになりました。リクエストがネットワークゾーンによってブロックされた(security.request.blocked)、またはサインオンポリシーに照らして評価された(policy.evaluate_sign_on)場合、System Logに、新しいZoneIdMatchおよびZoneNameMatchフィールドから、IPゾーン、動的ネットワークゾーン(DNZ)、および拡張動的ネットワークゾーン(EDNZ)全体で一致したすべてのネットワークゾーンの名前とIDが表示されるようになりました。イベントごとに最大10件の一致ゾーンが報告されます。
これらの新しいフィールドは、既存のClient.Zoneフィールドよりも詳細で、構造化されたネットワークゾーンコンテキストを提供します。これにより、管理者とセキュリティチームは、ブロックされたリクエストとポリシー評価に関する詳細で実行可能な情報を把握できるため、SIEMの調査と監査のレビューが大幅に容易になります。「System Logを使用してネットワークゾーンの問題をトラブルシューティングする」を参照してください。
SHA-256ダイジェストアルゴリズムのサポート
外部IdPに送信されるSAML AuthnRequestをハッシュする場合に、OktaはSHA-256ダイジェストアルゴリズムをサポートするようになりました。
Authenticator登録猶予期間のスキップ回数
この機能により、管理者は、Authenticatorへの登録を延期できるスキップの回数、またエンドユーザーに猶予期間が表示されたときのプロンプトのカスタマイズを定義できます。「Authenticator登録ポリシー」を参照してください。
WindowsでのOkta Verifyのリリース制御
新しいリリース制御機能で、管理者はWindowsでOkta Verifyの自動更新を許可、一時停止、または制限するかを構成できるようになります。これにより、企業の変更管理要件を満たし、Windowsエンドポイント全体でバージョンロールアウトを管理するための柔軟性が高まります。「Okta Verifyのリリース制御を構成する」を参照してください。
パスキーのブランド変更
FIDO2(WebAuthn)Authenticatorのブランド名が、パスキー(FIDO2 WebAuthn)に変更され、Oktaでは管理制御が強化され、ユーザーエクスペリエンスが合理化されます。この更新により、統合された設定ページを通じてパスキー管理が一元化され、Authenticatorのカスタム名が使用できるようになり、Sign-In Widget内に[パスキーでサインイン]ボタンが導入されます。これらの機能強化により、認証手順が簡素化され、ユーザーに[パスキーでサインイン]ボタンを使った、より直感的なサインインプロセスが実現されます。「パスキー(FIDO2 WebAuthn)Authenticatorを構成する」を参照してください。
ADからOktaへのユーザーパスワード移行
ユーザーまたは運用を中断することなく、ADからOktaにユーザーパスワードをシームレスに移行できます。これにより、Oktaがユーザーパスワードの信頼できるソースとして確立され、Oktaがユーザー認証を処理できるようになり、委任認証が不要になります。「ADからOktaへのパスワード移行」を参照してください。
Active DirectoryのDirSyncによるグループインポート
Active Directory(AD)統合のプロビジョニングタブに、DirSyncを使用したADによるインポートを有効にするチェックボックスが追加されました。チェックボックスを有効にすると、管理者はDirSyncを使用してグループの増分インポートを実行できます。「Active Directoryのインポートとアカウントの設定を構成する」を参照してください。
Workdayによる増分インポートのサポート
Workdayに増分インポートを直ちに実行する機能が加わりました。増分インポートはフルインポートよりもはるかに速いです。ただし、ユーザーがカスタム属性のみを変更した場合は検出されないため、これらの変更を取得するには定期的にフルインポートを実行する必要があります。「増分インポート」を参照してください。
ネットワークゾーンのレジデンシャルプロキシ検出
この機能は、匿名のプロキシやVPN以外にも、Enhanced Dynamic Network Zonesに関連する新たなゾーンを追加します。お客様は、ZSCALER_PROXY、PERIMETER_81などのサービスカテゴリーを使用できます。「サポートされるIPサービスカテゴリー」を参照してください。
IP除外ゾーン
OIE:この機能を使用すると、Okta ThreatInsightの構成、ブロックされたネットワークゾーン、あるいはIdentity Threat Protection with Okta AI内のIP変更イベントに関わらず、特定のゲートウェイIPからのトラフィックを許可することができます。「IP除外ゾーン」を参照してください。 OIE:この機能を使用すると、Okta ThreatInsightの構成、またはブロックされたネットワークゾーンに関わらず、特定のゲートウェイIPからのトラフィックを許可することができます。「IP除外ゾーン」を参照してください。
Okta FastPassの同一デバイス登録
Okta FastPassを使用しているorgでは、Okta Verifyの登録プロセスが合理化されました。
- ユーザーは現在使用しているデバイスで登録を開始して完了できます。以前は、アカウントをセットアップするには2つの異なるデバイスが必要でした。
- ユーザーは登録時にorgのURLを入力する必要がなくなりました。
- 登録フローの手順が少なくなりました。
この機能は、Android、iOS、macOSデバイスでサポートされています。
Admin Consoleへの新規の単一要素アクセスを防止する
この機能は、Admin Consoleへの単一要素アクセスを管理者が構成できないようにします。この機能は現在、新しいorgにのみ利用できます。
アプリケーションエンタイトルメントポリシー
管理者は、アプリを個人またはグループに割り当てる際に属性マッピングを上書きできるようになりました。また、属性をデフォルトのマッピングに戻すこともできます。「アプリケーション属性マッピングを上書きする」を参照してください。この機能は、すべてのorgで段階的に利用できるようになります。
End-User Settingsへの直接アクセス
ユーザーは、End-User Dashboard以外にも、URLから直接[設定]ページにアクセスようになりました。この機能によって、ユーザーの利便性とセキュリティや、管理者がEnd-User Dashboardアクセス制御のシナリオを扱う際の柔軟性が高まります。アクセシビリティとUXも改善されました。「エンドユーザー設定」を参照してください。
ニックネーム要素のエンドユーザー設定
エンドユーザーは、電話、WebAuthn、Okta Verifyの要素にニックネームを付けられるようになりました。1つの要素のインスタンスを複数登録している場合は、ニックネームを付けると要素をすぐに識別しやすくなります(例:「自分の個人携帯電話」または「自分のオフィス用MacBook TouchID」)。「エンドユーザー向けドキュメント」を参考にしてください。これはセルフサービスの機能です。
システムログイベントの詳細
Oktaがセキュリティ脅威を特定すると、結果の security.threat.detectedシステムログエントリにイベントの詳細な理由が提供されるようになりました。「システムログ」を参照してください。
新しい柔軟なLDAP
新しいLDAPスキーマでは、メールをカスタムスキーマに移動し、名、姓、ユーザー名、UIDを任意にすることで柔軟性が向上します。これにより、LDAPスキーマに特定の属性が含まれていない場合のエラーシナリオを回避できます。
ThreatInsightのコアOkta APIエンドポイントでの対象範囲
Okta ThreatInsight対象範囲が、コアOkta APIエンドポイントに利用できるようになりました。
Okta ThreatInsightは、ヒューリスティックスと機械学習モデルに基づいて、Oktaの顧客ベース全体で悪意のあるアクティビティを一貫して示すIPアドレスのリストを更新して維持します。Okta orgにOkta ThreatInsightが有効化されている場合、これらの不正なIPアドレスからのリクエストはブロックされるか、さらに分析するために昇格されます。これまで、Okta ThreatInsightの対象範囲は、Okta認証エンドポイント(登録エンドポイントと復旧エンドポイントを含む)にのみ適用されていました。本リリースでは、認証エンドポイントに強化された攻撃パターンが検出され、非認証エンドポイントにも制限された攻撃パターンが検出されます。既存のOkta ThreatInsight構成に変更はありません。ログとブロックモード、ログモード、および除外ネットワーク ゾーンを使用しても、Okta ThreatInsightを有効化できます。高脅威のsecurity.threat.detectedイベントに対して、Negative IP Reputationの新しい理由が利用可能になりました。「Okta ThreatInsightのシステムログイベント」を参照してください。
SSOアプリのダッシュボードウィジェット
SSOアプリの新しいウィジェットには、選択した期間におけるorgの各アプリでのユーザーサインインイベント数が表示されます。これを使用すれば、最も頻繁に使用されるアプリを確認し、org全体の認証アクティビティを簡単に監視できます。
セルフサービスロック解除プロセスの改善
以前のバージョンのセルフサービスロック解除(SSU)フローでは、エンドユーザーエクスペリエンスで不要な摩擦が発生していました。新しく強化されたSSU機能により、アカウントのロック解除メールにシームレスなマジックリンクエクスペリエンスが導入されます。ユーザーは、同じブラウザーを使用する場合は同意を提供する必要がなくなりました。さらに、アカウントのロック解除に成功した後、メールマジックリンクのクリックもアプリの保証ポリシーに反映されるようになりました。保証要件が満たされた後、ユーザーはアプリに直接サインインします。
セルフサービス登録エクスペリエンスの改善
セルフサービス登録(SSR)フローの以前のバージョンでは、複雑な一連のテンプレートを使用して、アクティベーションメールをエンドユーザーに送信していました。これは、簡素化されたSSRフローにより、カスタマイズされたウェルカムメッセージを含む2つのメールテンプレートのみに削減されます。アプリでエンドユーザーのメールアドレスをすぐに確認する必要がある場合、Oktaでは登録 - アクティベーションテンプレートを使用します。このテンプレートには、よりスムーズなサインインエクスペリエンスのためのマジックリンクが含まれています。アプリへのサインインにメール確認がすぐに必要でない場合、Oktaでは登録 - メール確認テンプレートを使用します。このテンプレートには、エンドユーザーがアプリに正常にサインインした後に随時メール確認を完了するためのリンクが含まれています。
デバイス認可の付与タイプ
インターネット技術の進歩により、スマートデバイスやIoT(Internet of Things)が急増しています。ユーザーはこれらのデバイスで実行されるアプリにサインインする必要がありますが、スマートTV、車のコンソール、サーモスタットなどのデバイスではWebブラウザーがサポートされていないか、入力機能が制限されています。そのため、ユーザーはエラーが発生しやすく時間のかかる、安全でない認証ソリューションを利用することになります。
デバイス認可付与機能はOAuth 2.0の付与タイプで、入力に制約のあるデバイスだけでなく、Webブラウザーのないデバイスにもサインインできます。この機能により、ユーザーはノートパソコンや携帯電話などのセカンダリデバイスを使用して、そのようなデバイスで実行されるアプリにサインインすることができます。