Okta Identity Engineリリースノート（2024）

Okta MFA Credential Provider for Windows、バージョン1.3.8

このバージョンのエージェントには、バグ修正とセキュリティ強化が含まれています。「Okta MFA Credential Provider for Windowsのバージョン履歴」を参照してください。

Okta Identity Governance

Okta Identity Governanceは、SaaSで配信される、集中型の直感的なIDおよびアクセス管理のプラットフォームです。これを使用すると、複数のシステムにわたってIDとアクセスのライフサイクルを簡素化および管理でき、会社の全体的なセキュリティを向上させることができます。

アクセス認定、アクセスリクエスト、レポートなどのOkta Identity Governanceソリューションを使用すると、以下が実現します。

• 重要なリソースへのアクセスを効率的に作成、保護、監査できます。

• 企業のセキュリティを向上させることができます。従業員の生産性を向上させることができます。

• タスクを自動化して、手動データ入力とプロビジョニングタスクにかかる時間と、それらに関連するエラーを削減することで、ITの効率性を向上させることができます。

「Identity Governance」を参照してください。

Okta Identity Governanceは、サブスクリプションベースで利用できます。詳細については、担当のアカウントエグゼクティブまたはカスタマーサクセスマネージャーにお問い合わせください。

トークンインラインフックをプレビューする

トークンインラインフックを実装する前に、フックリクエストと外部サービス応答をAdmin Consoleでプレビューできるようになりました。この機能は、インラインフックの開発と、本番環境へのリリース前のテストに役立ちます。「インラインフックをプレビューする」および「トークンインラインフックのプレビューとテスト」を参照してください。

IEおよびEdge Legacyプラグイン

Internet Explorer（IE）およびEdge Legacyブラウザプラグインをダウンロード（Downloads）ページからダウンロードできなくなりました。これらのプラグインはサポートされません。

サインインエクスペリエンスの改善

Sign-In Widget のサインアップリンクからアカウントを作成するユーザーは、最初のページでEメールアドレスとあわせて自身の氏名を入力します。その後、Sign-In Widget がAuthenticatorページを表示するので、ユーザーはそのページでパスワードを入力してその他の必要なAuthenticatorを設定します。サインアッププロセスを円滑にするために、パスワードを用いたセルフサービス式の登録機能が登録フォームの最初のページにパスワード入力欄を表示してくれます。「プロファイル情報を収集してユーザーを登録する」を参照してください。

組み込みウィジェットサインインサポートを管理

Oktaの提供するOkta Sign-In Widgetは余計な設定不要ですぐに使用でき、お客様はユーザーをウィジェットにリダイレクトするだけで認証することができます。Oktaでは、サインインエクスペリエンスをカスタマイズする必要があるお客様向けにウィジェットSDKも提供しています。開発者はこのSDKを自身のアプリケーションに組み込むことができます。この組み込みウィジェットは、ユーザーの認証に際してInteraction Code grant typeと呼ばれるカスタム承認モードを使用します。スーパー管理者は、この組み込みウィジェットサインインサポートのトグルを使用することで、すべてのアプリケーションおよび認証サーバーで組み込みサインインオプションを無効化できます。このことにより一貫性が生まれ、アプリケーションのセキュリティ態勢が向上します。「組み込みサインインサポートを構成する」を参照してください。

Okta Verifyプッシュ通知のセキュリティ拡張機能

ユーザーがフィッシング攻撃を認識して攻撃を防ぎやすくするために、モバイルデバイスおよびApple Watch上のOkta Verifyプッシュ通知にはアクセス対象のアプリ名と組織URLが含まれています。

デバイスプラットフォームとしてのChromeOS

認証ポリシールールまたはIDプロバイダーのルーティングルールでChromeOSをデバイスプラットフォームとして選択できるようになりました。これによって、ユーザーがChromeOSデバイスからOktaの保護対象となっているリソースにアクセスする方法を設定できるようになります。 「認証ポリシールールを追加する」 および 「IDプロバイダーのルーティングルールを構成する」を参照してください。

スマートカードIdP向けの証明書チェーンビルダー

管理者は個別の証明書ファイルをアップロードしてスマートカードIdP向けの証明書チェーンを構築できるようになりました。これにより、証明書チェーンを格納するファイルを手動で作成する必要がなくなります。「スマートカードIDプロバイダーを追加する」を参照してください。

テレフォニーの使用状況レポート

テレフォニーの使用状況レポートには、orgのテレフォニーイベントに関する経時データが表示されます。このレポートは音声イベントまたはSMSイベントでフィルターできるため、管理者は使用状況の傾向をすばやく把握して到達率やリクエストの問題に対処できます。「テレフォニーの使用状況レポート」を参照してください。

システムログのメール到達率イベント

管理者は次のメール到達率イベントタイプをSystem Logで表示できるようになりました。

• Delivered
• Deferred
• Dropped
• Bounce

これにより管理者は、org内のメール到達率アクティビティをより適切に監視できるようになります。「System Log」を参照してください。

カスタムドメインのシングルサインアウトの変更

管理者がカスタムドメインからサインアウトしたときに、管理者ドメインおよびサブドメインセッションがアクティブで残るようになりました。管理者が管理者ドメインまたはサブドメインからサインアウトすると、管理者のカスタムドメインセッションは終了されます。

［ユーザー］ページの改善

ユーザー（People）ページのフィルタリング結果が次のように改善されました。

• ステータス（Status） > パスワードリセット（Password reset）のフィルタリング結果に、パスワードの有効期限切れとパスワードリセットの両方のステータスのユーザーが含まれるようになりました。

• ステータス（Status） > アクティブ（Active）のフィルタリング結果は、ステータスがアクティブであるユーザーのみを返します。

Okta ADエージェント、バージョン3.13.0

このバージョンのエージェントには以下の変更が含まれています。

• 自動更新プロセスが始まる前の自動更新サービスのヘルスチェック
• エージェント自動更新機能のWebプロキシサポート
• 既存のログのログカテゴリをDEBUGからINFOに更新
• セキュリティの修正

「Okta Active Directory Agentのバージョン履歴」を参照してください。

Okta RADIUS Serverエージェント、バージョン2.17.7

このバージョンのエージェントにはセキュリティ修正が含まれており、エージェントがEAP-TTLSで構成された際に発生していたメモリーリークを解決しています。「Okta RADIUS Server Agentのバージョン履歴」を参照してください。

セルフサービスパスワードリセットエクスペリエンスの改善

以前は、セルフサービスパスワードリセット（SSPR）フローによって、ユーザーエクスペリエンスに不必要な摩擦が生じていました。新しく強化されたSSPR機能により、パスワードリセットメールにシームレスなマジックリンクエクスペリエンスが導入されます。ユーザーは、同じブラウザーを使用する場合は同意を提供する必要がなくなりました。パスワードがアプリケーションの保証ポリシーを満たしているパスワードリセットが成功した後で、ユーザーがアプリに直接サインインされます。「メールAuthenticatorの構成」を参照してください。

現在この機能は、新しいorgのみでデフォルトで有効になっています。

セルフサービスロック解除プロセスの改善

以前のバージョンのセルフサービスロック解除（SSU）フローでは、エンドユーザーエクスペリエンスで不要な摩擦が発生していました。新しく強化されたSSU機能により、アカウントのロック解除メールにシームレスなマジックリンクエクスペリエンスが導入されます。ユーザーは、同じブラウザーを使用する場合は同意を提供する必要がなくなりました。さらに、アカウントのロック解除に成功した後、Eメールマジックリンクのクリックもアプリケーションの保証ポリシーに反映されるようになりました。保証要件が満たされた後、ユーザーはアプリケーションに直接サインインします。「メールのAuthenticatorを構成する」を参照してください

現在この機能は、新しいorgのみでデフォルトで有効になっています。

カスタム管理者ロールの新しい権限

スーパー管理者は、これらの新しい許可をカスタム管理者ロールに割り当てることができるようになりました。

• 認証サーバーの管理
• 認証サーバーの表示
• カスタマイズの管理
• カスタマイズの表示

認証サーバーの許可のスコープはorgの認証サーバーのすべてまたはサブセットに設定できます。これらの新しい許可により、スーパー管理者は、orgのカスタマイズと認証サーバーを管理するためのより詳細な許可を持つカスタム管理者ロールを作成できるようになりました。「ロールの権限について」を参照してください。

新しいHealthInsightタスク

HealthInsightタスクが新たに2つ追加され、管理者がグローバルセッションポリシーのセキュリティを改善しやすくなりました。HealthInsightでは、特定のリソースに対して必要な認証頻度を増加することや、リスクの高いユーザーに対してサインインのたびにMFA入力を要求するためのガイダンスを利用可能になりました。「認証の頻度を構成する」および「各リクエストのリスクスコアを評価する」を参照してください。

同意取り消し用イベントフック

イベントフックで同意取り消しイベントを選択して使用できるようになりました。「イベントフックを追加する」を参照してください。イベントフックで使用できるイベントの一覧については、「イベントタイプ」を参照してください。

エージェントレス・デスクトップ・シングル・サインオン

エージェントレス・デスクトップ・シングル・サインオン（DSSO）を使用すると、DSSO機能を実装するためにActive DirectoryドメインにIWAエージェントをデプロイする必要はありません。これにより、Kerberos検証をOktaが引き受けるので、メンテナンスのオーバーヘッドが削減または排除され、高い可用性が実現します。「Active Directoryデスクトップシングルサインオン」を参照してください。

エージェントレス・デスクトップ・シングル・サインオンおよび統合Windows認証の認証セッションに対するポーリング・サポート

エージェントレス・デスクトップ・シングル・サインオン（ADSSO）および統合Windows認証（IWA）の認証セッションにポーリングが追加され、高帯域幅の使用期間中にサービスが中断する可能性が低減しました。ピーク時にADSSOまたはIWAで認証を行うユーザーは、この変更により、サーバーで認証要求を処理できる可能性が高くなります。「Active Directoryデスクトップシングルサインオン」を参照してください。

エージェントレス・デスクトップ・シングル・サインオン認証の進行画面の更新

エージェントレス・デスクトップ・シングル・サインオン（ADSSO）認証の進行画面が更新され、承認および検証の進捗状況が見やすくなり、ユーザー・エクスペリエンスが改善されました。「エージェントレスデスクトップシングルサインオンを構成する」を参照してください。

Active Directory用パスワード有効期限設定

すべてのプレビュー組織に対してActive Directory用パスワードの有効期限ポリシーを指定し、パスワードの最長有効期間（日単位）と、パスワードが有効期限切れとなる何日前にユーザーが警告を受け取るのかを設定できます。

Active DirectoryからJITユーザーを作成

ジャストインタイム（JIT）プロビジョニングを使用すると、Active Directory（AD）代理認証、Lightweight Directory Access Protocol（LDAP）代理認証、またはデスクトップSSOを使ってユーザーが初めて認証するときに、Oktaでユーザーアカウントを自動的に作成できます。JITアカウントの作成とアクティベーションは、まだOktaユーザーではないユーザーに対してのみ機能します。つまり、インポート結果ページで確認されたユーザーは、後でアクティブ化されるかどうかに関係なく、JITのアクティベーションの対象にはなりません。JITが有効になっている場合、ユーザーはアクティベーションメールを受信しません。「Active Directoryのジャストインタイムプロビジョニングでユーザーを追加および更新する」と「LDAPのジャストインタイムプロビジョニングでユーザーを追加および更新する」を参照してください。

サービスプリンシパル名の機能向上

新しいサービスプリンシパル名（SPN）機能により、SPNの更新時にAgentless Desktop Single Sign-on（ADSSO）認証を中断せずに続行できます。ADSSO Kerberos認証には、サービスアカウントとSPNが必要です。この変更により、追加のセキュリティ対策としてSPNを頻繁に更新できるようになりました。「サービスアカウントを作成してサービスプリンシパル名を構成する」を参照してください。

Universal DirectoryによるOkta LDAP統合の拡張

Okta LDAP統合は、カスタムマッピング、スキーマ検出、LDAPに格納されたあらゆる属性をインポートまたは更新可能とする完全に拡張可能な属性スキーマを新たに搭載しました。Okta LDAPはこれらの拡張機能によって、Active Directory統合ですでに利用可能なスキーマ機能に匹敵する実力を備えるものとなりました。「プロファイルエディター」を参照してください。

補助オブジェクト・クラス用OpenLDAPサポート

LDAPからユーザーをインポートする際に、コンマ区切りの補助オブジェクトクラスリストを入力できるようになりました。「LDAP設定を構成する」を参照してください。

レート制限ダッシュボードの新しいフィルター

レート制限ダッシュボードに一覧表示されたAPIを、レート制限乗数適格性ステータスによってフィルターできるようになりました。「レート制限のモニタリング」を参照してください。

［セキュリティメソッド］リストの適格Authenticator

設定（Settings）ページのセキュリティ方式（Security Methods）リストに、orgのAuthenticator登録ポリシーの構成によって決定された、ユーザーが登録できるAuthenticatorのみが表示されるようになりました。これにより、Authenticator登録を成功させるオプションだけがユーザーに提示されるようになるため、ユーザーエクスペリエンスが向上します。

ISVポータルEメールアドレスの更新

ISVポータルコミュニケーション用Eメールアドレスが、oanapp@okta.comになりました。

Okta LDAP Agent、バージョン5.15.0

このバージョンのエージェントには、セキュリティ強化が含まれています。「Okta LDAP Agentのバージョン履歴」を参照してください。

Okta RADIUS Serverエージェント、バージョン2.17.6

このバージョンのエージェントにはセキュリティ修正が含まれています。「Okta RADIUS Server Agentのバージョン履歴」を参照してください。

Okta On-Prem MFAエージェント、バージョン1.6.0

このバージョンのエージェントにはセキュリティ修正が含まれています。「Okta On-Prem MFAエージェントのバージョン履歴」を参照してください。

ロックアウト防止

この機能により、不明なデバイスからの不審なサインイン試行をブロックできます。過去に使用したことのあるデバイスでOktaにサインインしたユーザーはロックアウトされません。

削除不可のデフォルト認証サーバー

デフォルトの認証サーバーは、Oktaが提供するカスタム認証サーバーであるため、顧客はすぐにOktaを使い始めることができます。ただし、お客様がデフォルトの認証サーバーを削除すると、復元することができず混乱と中断が発生します。この機能強化により、デフォルトの認証サーバーを削除できなくなりますが、必要でない場合は無効にすることができます。識別しやすいように、Admin Consoleではデフォルトの認証サーバーにデフォルト（Default）ラベルが追加されています。「API Access Management」を参照してください。

ODSEE LDAPのサポート

Oktaは、LDAPエージェントのバージョンを5.6.3以降にアップグレードすることで、Oracle Directory Server Enterprise Edition（ODSEE）LDAP統合をサポートするようになりました。「Oracle Directory Server Enterprise Edition LDAP統合リファレンス」を参照してください。

eDirectory LDAPのサポート

バージョン5.6.2以降のLDAPエージェントへのアップグレードにより、eDirectory LDAP統合がサポートされるようになりました。「eDirectory LDAP統合リファレンス」を参照してください。

カスタムエラーメッセージ

管理者は、アクセスが拒否されたときにユーザーが受け取るエラーメッセージをカスタマイズできるようになりました。これにより、管理者は、修復手順を提供したり、アクセスの問題を解決するのに役立つドキュメントをユーザーに紹介したりすることができます。「アクセス拒否エラーメッセージをカスタマイズする」を参照してください。

認証ポリシーの複製

認証ポリシーをゼロから作成するには、既存のルールを新しいポリシーに視覚的にコピーする必要があります。したがって、これは人手によるエラーが発生しやすいタスクです。Oktaでは、ポリシーを複製する機能が提供されるようになりました。Okta Admin Consoleを使用するか、Policy APIで新しいポリシー複製操作を使用することができます。「認証ポリシーを複製する」を参照してください。

動的ルーティングルール

org管理者は、複数のIdPルーティングルールを1つの動的ルーティングルールに統合できるようになりました。動的ルーティングルールは、式言語を使用し、ログインオブジェクトの属性に基づいてユーザーを任意のIdPと照合します。これにより、ルーティングルールの量と複雑さが軽減され、それらを管理する人手による労力も軽減されます。「動的ルーティングルールを構成する」を参照してください。

認証ポリシーのアプリ条件

管理者は、認証登録ポリシールールを特定のアプリケーション、MFA登録をサポートする任意のアプリケーション、またはOktaに適用できるようになりました。これにより、管理者は、よりきめ細かくポリシーを構成できるようになり、セキュリティと柔軟性がさらに向上します。この機能は、本リリースにより、Okta Classic Engineで利用可能な機能と同等になります。「認証登録ポリシールールを構成する」を参照してください。

On-Prem MFAエージェントセキュリティプロバイダー

On-Prem MFAエージェントは、FIPS準拠のセキュリティプロバイダーを使用するようになりました。

PEM形式で秘密鍵を生成する

管理コンソールから公開鍵/秘密鍵のペアを生成するときに、秘密鍵にPEM形式またはJWK形式を使用できるようになりました。公開鍵はPEMをサポートしていません。

SMSと音声ブロックの強化

料金詐欺攻撃の危険がある国からの不審なSMSと音声トラフィックをブロックするための対策が追加で適用されるようになりました。システムログでは、ブロックされたトランザクションに拒否ステータスが表示されます。

エージェント接続の問題のEメール通知

エージェント切断/再接続の問題が大量に発生した場合には、お客様にEメールで通知されるようになりました。

ユーザー名の一致基準

Organizationのセキュリティ（Organization Security）という新しい設定によって、ユーザーのサインイン時にユーザーのプロファイルを照合する方法が決まります。短い一致を許可する（Allow short match）を選択すると、ユーザーはドメインがなくてもサインインできるようになり、ユーザー名全体の一致（Match entire username）を選択するとドメインが必要になります。「一般的なセキュリティ」を参照してください。

OIN Managerの機能強化

OIN Managerランディングページに一連のサポートリンクと検索バーが含まれるようになり、統合サブミッションの際に便利に使用できます。

Corrata：構成情報については、「Corrata Okta Integrationガイド」を参照してください。

Entrustient：構成情報については、「Okta構成ガイド」を参照してください。

Foreman：構成情報については、「Foreman - Okta SSOガイド」を参照してください。

Rybbon：構成情報については、「Rybbon Configurationガイド」を参照してください（このドキュメントにアクセスするには資格情報が必要です）。

Okta ADFSプラグイン、バージョン1.7.11

このバージョンのプラグインには、バグ修正、セキュリティ強化、追加の最上位ドメインのサポートが含まれています。「Okta ADFSプラグインのバージョン履歴」を参照してください。

Okta MFA Credential Provider for Windows、バージョン1.3.7

このバージョンのエージェントには、修正、セキュリティ強化、追加の最上位ドメインのサポートが含まれています。「Okta MFA Credential Provider for Windowsのバージョン履歴」を参照してください。

OIDCアプリ統合のPKCE検証

サービスアプリを除くOIDCアプリ統合の追加の確認手順として、Proof Key for Code Exchange（PKCE）を要求できるようになりました。OAuthセキュリティの現在のベストプラクティスの推奨事項は、クライアントタイプに関係なく、認証コードフローのすべての使用でPKCEを使うことです。「AIWを使用してOIDCアプリ統合を作成する」を参照してください。

署名済みSAMLリクエストの検証と確認

署名済みSAMLリクエストを使用すると、着信リクエストが正規のアプリケーションからのものであることを保証できます。これが構成されている場合、Oktaは、アプリ統合に関連付けられた証明書を使用して署名されたSAMLリクエストのみを受け入れます。署名済みSAMLリクエストを使用すると、認証後に要求されたAssertion Consumer Service（ACS）のURLが複数のドメインまたはURLのうちの1つである可能性があるというシナリオも解決されます。サービスプロバイダーが署名済み認証リクエストを送信すると、Oktaは、動的なACS値をSAMLリクエストの一部として受け入れることができ、リクエストで指定されたACS値にSAMLアサーション応答をポストします。「AIWを使用してSAMLアプリ統合を作成する」の詳細設定（Advanced Settings）セクションを参照してください。

共有SWAアプリのアカウント、パスワードの制限

アカウントサインインオプションが［Users share a single username and password set by administrator（ユーザーは管理者が設定した1つのユーザー名およびパスワードを共有します）］に設定されているSWAアプリの場合、パスワードを表示できるのは、そのアプリに対する許可があるスーパー管理者またはアプリ管理者のみです。

非管理対象デバイスのデバイス保証

Okta FastPassを使用したパスワードなしのMFAで企業リソースへのアクセスを保護することはできますが、アクセス権を付与する前にデバイス自体のセキュリティ体制を保証することはできません。これは、そのデバイスのコンプライアンスステータスを検証するための補完的なデバイス管理エージェントが存在しない、非管理対象デバイスに特に当てはまります。デバイス保証ポリシーを使用すれば、保護されたリソースにユーザーがアクセスするために満たす必要があるデバイスセキュリティ体制の要件を定義することができます。これにより、デバイスが管理されていない場合でも、安全なデバイスにのみアクセス権が付与されるようにすることで、organizationのデータとサービスを保護できます。「デバイス保証」を参照してください。

新しいOkta End-User Dashboardの新しいRecent Activity（最近のアクティビティ）ページ

最近のアクティビティ（Recent Activity）ページはエンドユーザーにOktaアカウントの最近のサインインおよびセキュリティイベントの概要を提示します。エンドユーザーは、私はこれを行っていません（I don’t recognize this）をクリックして、Okta管理者に疑わしいアクティビティをレポートすることもできます。「最近のアクティビティ」を参照してください。

カスタムドメインのステータス

カスタマイズ（Customizations） > ドメイン（Domain）の新しいステータス（Status）フィールドに、カスタムURLドメイン構成がアクティブ、保留中、または証明書期限切れのいずれであるかが示されます。「Okta URLドメインをカスタマイズする」を参照してください。

Sign-In Widget のテキストの明確化

Okta Sign-In Widget のメールで確認する（Verify with your email）ページが更新され、Oktaが確認メールを生成して送信するためにエンドユーザーがアクションボタンをクリックする必要があることが明記されるようになりました。

OIN Managerのユーザーインターフェイスの変更

OIN Managerには次の更新が含まれています。

• Oktaの現在のスタイルに合わせてUIが更新されました。
• Oktaのロゴが更新されました。
• 新規提出の処理に必要な時間をリストしたメモが表示されます。

レート制限違反の403エラー

orgがSMSリクエストの運用可能レート制限に達した場合、429 Too many requestsエラーの代わりに403 Forbiddenエラーが表示されるようになりました。「クライアントベースのレート制限を構成する」を参照してください。

OKTA-482997

自動的にプッシュを送る（Send push automatically）チェックボックスが選択されていない場合でも、カスタムAuthenticatorがプッシュ通知を送信していました。

OKTA-496347

ユーザーを追加（Add Person）ウィジェットのパスワードフィールドが誤って切り捨てられていました。

OKTA-499408

早期アクセスページのOkta Active Directory（AD）エージェントを自動的に更新する（Automatically update Okta Active Directory (AD) agents）のヘルプリンクが古いヘルプトピックを示していました。

OKTA-506480

ADエージェントのメールに、すでに最新バージョンを実行しているエージェントが最近自動更新されたと誤って記載されていました。

OKTA-515159

サインインフローに使用されないメールテンプレートを管理者がカスタマイズした場合、app.id、app.name、およびapp.labelの各変数が正しく解決されませんでした。

OKTA-518347

一部のOrg2Orgユーザーがターゲットorgで同じExternalIDを持っていました。

OKTA-522912

Okta Sign-In Widget のテキストは、確認コードがメールで送信されたことを暗に示していましたが、Oktaはまだそのメールを生成していませんでした。

OKTA-523033

追加のAuthenticatorのインライン登録では、グローバルセッションポリシー設定に基づいてAuthenticatorを登録するようにユーザーに求めていました。

OKTA-523140

OAuthを使用してSalesforceプロビジョニングが構成された場合、Salesforceコミュニティプロファイルが表示されませんでした。

OKTA-523607

ユーザーは、代理認証が無効になった後、ADSSOでサインインできました。

OKTA-524632

セカンダリメールが機密属性としてマークされている場合、［Assign People（ユーザーを割り当て）］ページでユーザーを検索すると、無効な検索条件のエラーが返されました。

OKTA-529018

デフォルトの認証ポリシーのキャッチオールルールでは、パスワードのみを要求していました。

アプリ統合の修正

以下のSAMLアプリが正しく動作していなかったため、修正しました：

自分で選んだ通信プロバイダーを使用できるようにOktaをカスタマイズ

Oktaの提供するテレフォニー機能は設定不要ですぐに使用できますが、SMSや音声メッセージを配信するために既存の通信プロバイダーとOktaを統合する機能を必要とするお客様も少なくありません。

お客様は、テレフォニーインラインフックを使用することで、Okta内でワンタイムパスワードを生成し、既存の通信プロバイダーを利用して、MFA登録/検証/、パスワードリセット、SMSまたは音声によるアカウントロック解除のメッセージを配信できます。この機能により、お客様は、既存のテレフォニーソリューションに既に多くの時間を投資している、特定の地域プロバイダーを利用する必要がある、あるいは単に柔軟性を維持したいという理由から、既存のテレフォニーソリューションをOkta内で使用できるようになります。「テレフォニーサービスプロバイダーのカスタマイズ」を参照してください。

構成可能なAPIトークンレート制限

管理者は、個々のAPIトークンのレート制限容量をパーセンテージで構成できるようになりました。以前は、トークンのレート制限違反が発生しても、その制限を消費したトークンが明示されませんでした。トークンごとに最大容量を設定すると、この問題は解決し、管理者が新しいツールでレート制限違反を調査して、今後のデプロイを計画できるようになります。「APIトークンの管理」を参照してください。

Salesforce REST OAuth

管理者は、Salesforce統合の最新バージョンにアップグレードできるようになりました。OAuthをプロビジョニングとインポートに使用できるようになります。「OAuthとRESTの統合を構成する」を参照してください。

現在この機能は、すべてのorgでデフォルトで有効になっています。

重複する認証ポリシーのマージツール

管理者は、重複する認証ポリシーをマージすることでポリシー管理を簡便化できます。マージツールは、同じルールを持つ認証ポリシーを見つけて、それらのアプリを1つのポリシーに移動してから、重複を削除します。自動プロセスの実行後、管理者は1つのポリシーで編集とアプリの割り当てを行えるようになります。「重複ポリシーをマージする」を参照してください。

カスタム管理者ロール

現在利用可能な標準の管理者ロールは、委任された管理の詳細な要件をすべて満たすとは限らないため、管理者が必要以上またはそれ以下の権限を持つ結果になる場合があります。

カスタム管理者ロールの機能を使用すると、スーパー管理者は次の操作を行えます。

• 特定のユーザー、グループ、アプリケーションの権限を含む詳細なロールを使用して管理者権限を割り当てる。

• これらの管理者権限の割り当てをリソースセットに制限する。

次の目的でカスタム管理者ロールを使用します。

• 管理者の生産性を向上させる。

• 1人の管理者が持つアクセス範囲を分散化する。

• さまざまな事業部門に自律性を認め自己管理を促進する。

注意すべき重要な点は次のとおりです。

• 管理者（Administrators）ページが更新されました。ロールと権限を管理する直感的な新しいインターフェイスが追加されています。「管理者ページについて」を参照してください。

• 既存のロールは「標準ロール」と呼ばれます。標準ロールの機能は以前と同じですが、UIが異なります。「標準ロールを使用する」を参照してください。

• 既存のロールは引き続き使用できます。また、既存の割り当ても変わりありません。

• 標準ロールが割り当てられているユーザーにカスタムロールを割り当てることもできます。

「カスタム管理者ロール」および「カスタムロールの割り当てを作成するためのベストプラクティス」を参照してください。

グループへのユーザーの一括割り当て

管理者は、一括インポート機能を使用して、特定のOktaグループに複数のユーザーを割り当てることができるようになりました。一括ユーザーインポートを使用すると、管理者がユーザーグループ割り当てを管理する場合にかかる時間を大幅に短縮できます。また、大手企業の組織がアクセス管理プロバイダーとしてOktaを導入するのが簡単になります。「ユーザーをグループに一括で割り当てる」を参照してください。

この機能はすべてのorgで段階的に利用できるようになります。

Okta管理コンソールの［グループ］ページの機能強化

Okta管理コンソールの[グループ]ページが更新され、グループに多数のユーザーを追加する作業が簡素化されました。また、すべてのユーザーが誤ってグループから削除される可能性が低くなりました。さらに、検索機能が大幅に改善され、グループへのユーザーの追加とグループからのユーザーの削除がより迅速かつ簡単になりました。「グループを管理する」を参照してください。

この機能はすべてのorgで段階的に利用できるようになります。

ユーザーとグループの詳細検索

管理者がユーザーとグループをすばやく検索して管理できるように、強化された人とグループの検索機能が使用できるようになりました。管理者は、クエリにSCIMプロトコルを使用して、検索結果を特定の条件に制限できます。また、クエリで作成日と最終更新日を使用してユーザーやグループが作成された時間や最後に変更された時間を特定し、基本属性とカスタム属性の両方を使用してグループとユーザーを検索することもできます。こうした詳細検索オプションを使用すると、検索結果を最適化し、特定の情報の検索にかかる時間を短縮できます。「グループメンバーを表示する」を参照してください。

この機能はすべてのorgで段階的に利用できるようになります。

iFrameの埋め込み用の信頼済みオリジン

iFrameの埋め込み用の信頼済みオリジンを使用して、OktaサインインページとOktaエンドユーザーダッシュボードを埋め込むことができるオリジンを選択できるようになりました。カスタマイズの既存の埋め込みオプションでは安全なオリジンと安全でないオリジンを区別できませんが、この機能ではiFrameの埋め込みをきめ細かく制御できます。セキュリティ（Security） > APIから信頼済みオリジンを使用すると、信頼するオリジンを選択して構成できます。また、コンテンツセキュリティポリシーでよりセキュアなframe-ancestorsディレクティブを使用してクリックジャッキングなどのWeb攻撃からデータを保護するため、セキュリティを強化できます。さらに、既存のiFrameを信頼済みオリジンに移行することもできます。「iFrameの埋め込み用の信頼済みオリジン」を参照してください。

Okta ADエージェント、バージョン3.12.0

このバージョンのエージェントには以下の変更が含まれています。

• グループメンバーシップ情報のロギングの改善

• セキュリティの強化

「Okta Active Directory Agentのバージョン履歴」を参照してください。

Okta RADIUS Serverエージェント、バージョン2.17.5

本バージョンのエージェントにはセキュリティ修正が含まれており、エージェントがEAP-TTLSで構成された際に発生していたメモリーリークを解決しています。「Okta RADIUS Server Agentのバージョン履歴」を参照してください。

Okta On-Prem MFAエージェント、バージョン1.5.1

このバージョンのエージェントにはセキュリティ修正が含まれています。「Okta On-Prem MFAエージェントのバージョン履歴」を参照してください。

ログストリーミングのイベントフック

Oktaログストリームの状態が変化した場合の可視性を高めるため、ストリームの無効化などログストリーム管理に関連するイベントログがイベントフックの対象になりました。イベントフックを使用すると、ログストリームの状態の変化に対する検出と応答を自動化できます。「ログストリーミング」を参照してください。

［レート制限］ダッシュボードにAPIトークンデータを含める

レート制限（Rate Limits）ダッシュボードの経時的レート制限の使用状況（Rate limit usage over time）グラフにAPIトークンデータが追加されました。APIトークンやIPアドレスに基づくデータを棒グラフで表示して、トラフィックにスパイクがないか確認できます。「棒グラフ」と「トークンによるAPIレート制限」を参照してください。

CSVレポートアクションのシステムログイベント

セキュリティと監査の強化に伴って、CSV形式のレポートがリクエスト、生成、ダウンロードされたときに、システムログに新しいイベントが記録されるようになりました。

認証ポリシーのシステムログアップデート

認証ポリシーアップデートイベントには新しいDebugDataフィールドが含まれており、ルールがどのように変更されたかに関する詳細が記載されています。

テレフォニー操作のシステムログアップデート

テレフォニー操作のレート制限違反が原因でSMSまたはVoiceメッセージがブロックされたときに、system.operation.rate_limit.violationイベントが発行されなくなりました。代わりに、テレフォニーsystem.sms.send.*イベントとsystem.voice.send.*イベントがDENY System Logメッセージとして発行されます。

Microsoft Azure Joinドキュメント

Azure JoinとOktaを統合するユーザー向けのヘルプドキュメントが使用できるようになりました。「Hybrid Azure AD Joinを統合するための一般的なワークフロー」を参照してください。

ADエージェントは動作時にのみ自動更新

ADエージェント自動更新スケジューラーは、動作していないエージェントを自動的に更新しなくなりました。「エージェントの自動更新をスケジュールする」を参照してください。

YubiKey Authenticatorの名称変更

YubiKey Authenticatorの名称が、YubiKey OTPに変更されました。「ワンタイムパスワード用にYubiKey OTPを構成する」を参照してください。

OIN Managerの機能強化

非アクティブ状態が続いた後で統合がドラフトに移ったときに送信される自動Eメールの内容が更新されました。

長くなったサーバー生成秘密鍵

セキュリティを強化するために、サーバー生成の秘密鍵が長くなりました。これらのキーは、FIPS対応の環境およびorgで多要素認証用のワンタイムパスワードを生成するために使用されます。

Okta Verifyオプションを構成するを参照してください。

プログレッシブ登録エクスペリエンスの導入

一般に、最初のサインアッププロセス中にエンドユーザーデータを収集すると、摩擦や放棄が生じます。プログレッシブ登録機能の追加により、プロファイルの作成に必要な最小限のユーザー情報を取得し、その後のサインイン操作中にそれらのユーザープロファイルを拡張および強化することができます。管理者は、収集する情報を制御し、それらの入力値を検証して、セルフサービス登録およびプログレッシブ登録フロー中にインラインフックをトリガーできます。「新規ユーザーの登録」を参照してください。

LDAPをソースとするユーザーのパスワードの同期

LDAPをソースとするユーザーのパスワードがOktaでリセットされ、LDAP代理認証が有効になっている場合、新しいパスワードは、パスワードの同期が構成されている、ユーザーの割り当て済みアプリケーションにすぐに同期されるようになりました。この変更により、ユーザーのパスワードが最新の状態に保たれるようになり、ユーザーがアプリケーションにアクセスできなくなる可能性が低くなります。「アプリケーションパスワードの同期」を参照してください。

IDプロバイダーに基づいたサインオンポリシーの構成

管理者は、特定のIDプロバイダーに基づいてサインオンポリシーを構成するオプションを利用できるようになりました。これにより、管理者は、Oktaセッションの取得に使用できるIDPをより柔軟に指定することができます。「認証ポリシールールを追加する」を参照してください。

Okta Sign-In Widget に表示されるようになった追加の詳細情報

Okta Sign-In Widget のセキュリティメソッドで本人であることを確認する（Verify it’s you with a security method）ページに、セキュリティ方式が認証、復旧、またはその両方のどちらに使用されるかが表示されるようになりました。

最後に使用したMFA Authenticatorの記憶

Oktaは、ユーザーが最後に正常にサインインしたときに選択したすべてのMFA Authenticatorを記憶するようになりました。その後のサインイン試行では、最後に使用されたAuthenticatorがデフォルトで自動的に選択されます。ユーザーは他の方法で検証する（Verify with something else）をクリックすることで、別のAuthenticatorを選択できます。

この機能はすべてのorgで段階的に利用できるようになります。

OINアプリへのSSO機能

MFAのみのサービスパッケージをサブスクライブしているお客様は、Okta Integration Networkアプリへの基本的なシングルサインオン機能を利用できるようになりました。

レガシーのユーザーグループIDのサポート

2012年より前に作成されたユーザーグループエンティティのレガシーのID形式をサポートするために、検証ルールが緩和されました。

FIDO2セキュリティキーの登録

管理者は、Oktaユーザーインターフェイスから、ユーザーの代わりに、ユーザーのアカウントにFIDO2セキュリティを登録できるようになりました。これにより、管理者は、ユーザーが自分で登録を完了できない場合に、特別なレベルの支援を提供することができます。「FIDO2（WebAuthn）authenticatorを構成する」を参照してください。

新しいキャッチオールルールの条件

新しい認証ポリシーのキャッチオールルールでは、任意の2つの要素タイプでのアクセスを許可し、12時間後に再認証を要求するようになりました。グローバルセッションポリシールールを追加するを参照してください。

OIN Manager開発者規約

OIN Managerのページに、開発者の利用規約へのリンクが含まれるようになりました。「開発者規約」を参照してください。

グローバルセッションポリシールールを追加するための［Session management（セッション管理）］セクション

新しいグローバルセッションポリシールールを追加する、または既存のものを編集する場合、新しい［Session management（セッション管理）］セクションを使用することができます。

このセクションには、次の2つの新しいオプションが含まれています。

• Oktaセッションの最大ライフタイム（Maximum Okta session lifetime）：ユーザーセッションの時間制限を設定します。

• ブラウザーセッション間でセッションCookieを保持（Persist session cookies across browser sessions）：閉じたブラウザーを再度開いた後、ユーザーがセッションを続行できるようにします。

これらのオプションは、以前はOkta APIを介してのみ利用可能でしたが、Okta Admin Consoleからも構成できるようになりました。

セッションは次の経過後に期限切れになります（Session Expires After）がユーザーがOktaで次の間アイドル状態になった後にセッションを期限切れにする（Expire session after user has been idle on Okta for）という名前に変更されました。

警告と説明が追加され、フィールドの機能と、フィールドをより適切に構成する方法が明確になっています。

グローバルセッションポリシールールを追加するを参照してください。

user.session.start System Logイベント

user.session.start System Logイベントは、アプリ固有のDelAuthサインインイベントが成功した後に発生します。

デフォルトポリシーの新しい条件

デフォルトの認証では、任意の2つの要素タイプでのアクセスを許可し、12時間後に再認証を要求するようになりました。「認証ポリシールールを追加する」を参照してください。

デフォルトポリシーの名前の変更

新規および移行中のorgでは、デフォルトの認証ポリシーが任意の2つの要素（Any two factors）に名称変更されました。このポリシーでは、任意の2つの要素タイプでのアクセスを許可し、12時間後に再認証を要求するようになりました。「プリセット認証ポリシー」を参照してください。

OINアプリカタログのユーザーインターフェイスの変更

アプリの詳細ページのサポートされる言語（Languages Supported）セクションが削除されました。

OKTA-449159

IDプロバイダーを追加 - Microsoft（Add Identity Provider - Microsoft）UIで、Microsoftスコープ（Microsoft Scopes）ヘルプリンクが間違ったURLを指していました。

OKTA-480772

ADでパスワードをリセットした、ADをソースとするユーザーは、IWAまたはADSSOを使用してOktaにサインインするときに、パスワードを再度リセットする必要がありました。

OKTA-498957

SAML 2.0アプリのSAML署名証明書を構成するとき、管理者はOkta Admin ConsoleでIDプロバイダーのメタデータ（Identity Provider metadata）リンクを右クリックしてコピーすることができませんでした。

OKTA-500367

ユーザーの作成中にユーザー検証が失敗した場合、存在しないユーザーに関連付けられた一意のプロパティーがクリアされませんでした。

OKTA-502678

複数のデバイスにOkta Verifyを登録し、プッシュ通知を自動送信する（Send push automatically）チェックボックスをオフにしたユーザーが、プッシュ通知を受け取る（Get a push notification）を選択してもプッシュ通知が届きませんでした。

OKTA-506002

一意性には正確な値の一致が必要なため、Number型のスキーマプロパティを一意にすることに問題があり、現在はサポートされなくなりました。代わりにIntegerまたはStringプロパティを使用してください。

OKTA-507888

カスタマイズ（Customizations） > ブランディング（Branding）のページ（Pages）パネルで、orgが選択したテーマの代わりにOktaのデフォルトが表示されました。

OKTA-509079

シークレットモードでAD SSOを使用してOktaにアクセスしたユーザーに対して、ようこそ（Welcome）ページ、SMSリマインダープロンプト、およびセキュリティ画像プロンプトが表示されませんでした。

OKTA-510254

プロファイル登録フォームでは、10個を超える許可された属性が認められていませんでした。

OKTA-510483

削除されたアプリが含まれるリソースセットを管理者が編集しようとすると、エラーが発生することがありました。

アプリ統合の修正

以下のSWAアプリが正しく動作していなかったため、修正しました。

• GetFeedback（OKTA-505764）

• GoToWebinar（OKTA-502955）

• NordLayer（OKTA-505977）

Hyperdriveエージェント、バージョン1.2.0

Okta for MFAは、Epic Hyperdriveプラットフォームを使用する場合の規制物質の電子処方（EPCS）臨床医フローのセキュリティを強化します。このプラグインは、Okta Classic Engine orgとOkta Identity Engine orgの両方と互換性があります（廃止されたEpic Hyperspaceプラットフォームをまだ使用しているお客様向けのEPCS臨床医フローは、Okta Identity Engineではサポートされていません）。「規制物質の電子処方のためのMFA - Hyperdrive」と「Okta Hyperdriveエージェントのバージョン履歴」を参照してください。

Okta LDAP Agent、バージョン5.13.0

このバージョンには以下が含まれます。

• Amazon Correttoのアップグレード版

• セキュリティの修正

• ポーラースレッドでの例外処理の改善

• バグの修正

このエージェントは、すべてのorgで段階的に利用できるようになります。

「Okta LDAP Agentのバージョン履歴」を参照してください。

JIRA Authenticator Toolkit、バージョン3.1.9

このバージョンには以下が含まれます。

• Jira 8.22.2のサポート

• バグの修正

「Okta Jira Authenticatorのバージョン履歴」を参照してください。

Okta Browser Plugin、バージョン6.10.0

このバージョンには以下の修正が含まれています。

• Okta Browser Pluginのパスワード変更（Change password）ダイアログで一部の要素にアクセスできませんでした。
• Okta Browser Pluginは、ユーザーがダッシュボードからSWAアプリを開いたとき、一時的にプロンプトを表示しました。

「Okta Browser Pluginのバージョン履歴」を参照してください。

LDAPインターフェイスのディレクトリ情報ツリー（DIT）にグループを公開

orgのアクセスコントロールの決定を簡略化するために、管理者は、LDAPインターフェイスのディレクトリ情報ツリー（DIT）で公開するグループを選択できるようになりました。管理者は、Oktaグループに加えて、Active Directory（AD）グループやLDAPグループなど、orgにとって重要なアプリケーショングループを表示するオプションを利用できるようになりました。「LDAPインターフェイスのディレクトリ情報ツリーにアプリグループを公開する」を参照してください。

Symantec VIP Authenticatorが利用可能に

Okta Identity EngineでSymantec VIP Authenticatorが利用できるようになりました。Symantec VIPを使用してユーザーのIDを確認している企業は、このAuthenticatorをOkta環境に統合して、Okta orgおよびアプリへのアクセスを保護するために使用できるようになりました。「Symantec VIP Authenticatorを構成する」を参照してください。

オプションのAuthenticatorとしてのパスワード

パスワードは弱いAuthenticatorであり、セキュリティの問題が発生しがちです。現在、すべてのユーザーはパスワードの登録を求められます。これはまた、セルフサービス登録プロセス時に摩擦を引き起こします。エンドユーザー向けに、パスワードがオプションまたは不要のサインインエクスペリエンスを作成できるようになりました。パスワードを設定する必要がなくなるため、登録プロセスが迅速になります。また、ユーザーは代わりに所有ベースのAuthenticatorや生体認証などのより強力なAuthenticatorを使用できるため、より安全で安心なサインインエクスペリエンスが実現します。Oktaを使用すると、パスワードなしのフローでorganization内の特定のユーザーグループを柔軟に対象とすることができるため、ユーザーベース全体で段階的にこのエクスペリエンスを展開できます。「パスワードレスサインインエクスペリエンスをセットアップする」を参照してください。

メールのマジックリンク認証エクスペリエンスの改善

メールのマジックリンクが強化され、エンドユーザーが2つの異なるコンテキストで認証できるようになりました。リンクをクリックした場所と同じ場所で認証を行い、すぐにアプリケーションコンテキストに戻ることができます。エンドユーザーが別のブラウザーでリンクをクリックした場合は、ワンタイムパスワードを入力して認証を続行できます。以前は、メールのマジックリンクを使用してアプリケーションにサインインする場合、エンドユーザーは、サインイン試行を開始した元のブラウザーの場所に戻る必要がありました。Oktaは、エンドユーザーが、元のタブと、メールのマジックリンクをクリックしたタブの両方の所有権を証明できるようにします。「メールAuthenticatorを構成する」および「Oktaで保護されたリソースにサインインする」を参照してください。

新しいSystem Logイベント

2つの新しいSystem Logイベントで、新しいAuthenticatorが作成されたときと、既存のAuthenticatorが更新されたときを追跡します。

• security.authenticator.lifecycle.create：このイベントは、管理者がorgの新しいAuthenticatorを作成したときに記録されます。誰がAuthenticatorを作成したか、どのAuthenticatorが作成されたかを識別するのに使用できます。アクターには、Authenticatorを作成したユーザーが明記され、ターゲットには、Authenticator名とIDが明記されます。このイベントには、Authenticator固有の情報も含まれる場合があります。

• security.authenticator.lifecycle.update：このイベントは、管理者がorgのAuthenticatorを更新したときに記録されます。誰がAuthenticatorを更新したか、どのAuthenticatorが更新されたかを識別するのに使用できます。アクターには、Authenticatorを更新したユーザーが明記され、ターゲットには、Authenticator名とIDが明記されます。このイベントには、Authenticator固有の情報も含まれる場合があります。

テレフォニーレート制限違反のSystem Logイベント

SMSまたは音声メッセージがテレフォニー運用レート制限違反によってブロックされた場合、system.sms.send.*およびsystem.voice.send.*テレフォニーイベントがDENY System Logメッセージとともに発行されるようになりました。system.operation.rate_limit.violationイベントは引き続き発生しますが、2022.08.0リリースで廃止となります。

「System Log」を参照してください。

ベースOIDC IdPコネクターの機能強化

汎用OpenID Connect（OIDC）IDプロバイダー（IdP）コネクターは、追加の確認メカニズムとしてPKCEを提供します。このコネクターを介して認証する場合、Oktaユーザー名と一致する正規表現を定義することもできます。「OktaにIDプロバイダーを作成する」を参照してください。

OIN Managerのユーザーインターフェイスの変更

OIN Managerには次の更新が含まれています。

• アプリカテゴリー（App categories）フィールドは、OINカタログと一致するように、ユースケース（Use cases）に名前が変更されました。

• シングルサインオンはデフォルトのユースケースです。

JWTクレームの機能強化

カスタムJSON Webトークン（JWT）クレームで、名前部分が、スラッシュ文字とコロン文字を含むURI形式をサポートするようになりました。コロン文字が含まれる名前はURIでなければなりません。

インラインフックタイプのSystem Log機能強化

システムログのデバッグコンテキストイベントのデバッグデータにインラインフックタイプが含まれるようになりました。

カスタム管理者ロールに強制適用される一意の名前

スーパー管理者が、重複するロール名でカスタム管理者ロールを作成すると、次のエラーメッセージが表示されるようになりました：この名前の管理者ロールはすでに存在します。（There is already an admin role with this name.））「カスタム管理者ロール」を参照してください。

リソースセットの制約のテキストの改善

新しいリソースセットを作成する（Create new resource set）および リソースセットを編集（Edit resource set）ページで、すべてに関連付ける（Constrain to all）チェックボックスのラベルに、選択されたリソースタイプが含まれるようになりました（例：すべてのグループに関連付け（Constrain to all groups））。「リソースセットコンポーネントの操作」を参照してください。

ユーザーインターフェイスのラベルの変更

認証ポリシールール追加（Authentication Policy Add Rule）モーダルのデバイスバインド（Device Bound）チェックボックスのラベルが、電話とメールのAuthenticatorを除外（Exclude phone and email authenticators）に変更されました。「認証ポリシールールを追加する」を参照してください。

Okta Sign-In Widget に表示されるようになった追加の詳細情報

Okta Sign-In Widgetのセキュリティ方式により自分の身元を確認する（Verify it's you with a security method）ページで、リストされている各セキュリティ方式の下にアプリ名が表示されるようになりました。

ユーザーインターフェイスのヘルプテキストの変更

IDプロバイダー（Identity Provider）ページのヘルプテキストの機能強化により、製品の変更との整合性が取られ、ユーザーエクスペリエンスが向上しました。「IDプロバイダー」を参照してください。

ユーザーアクティベーションのテンプレートの更新

管理者がユーザーアクティベーションのメールテンプレートにfromURIを追加できるようになりました。これにより、org内の登録済みOIDCアプリからのユーザーアクティベーションが可能になります。

ヘルプメニューの更新

グローバルヘルプドロップダウンメニューでは、ヘルプリンクの名前が変更され、リソースの説明が含まれるようになりました。

グローバルセッションポリシーのUIの更新

グローバルセッションポリシーのAuthenticator要件のUI文字列が更新されました。グローバルセッションポリシールールを追加するを参照してください。

ポリシー条件のテキストの変更

グローバルセッションポリシールール追加（Global Session Policy Add Rule）モーダルの多要素認証項目が強化され、ユーザーエクスペリエンスが向上しました。グローバルセッションポリシールールを追加するを参照してください。

OKTA-471339

アプリカタログから新しいLDAP統合を作成すると、Resource not foundエラーが発生しました。

OKTA-479711

カスタム管理者ロールを持つグループにユーザーが追加される、またはこのグループからユーザーが削除されると、System Logにユーザー特権付与イベントが表示されました。

OKTA-480925

ユーザーが自分のアカウントからロックアウトされたとき、管理者は適時にメール通知を受け取れませんでした。

OKTA-482826

Active Directoryからインポートされたユーザーの一部は、複数回アクティブ化された場合、ワンタイムパスワードモードでスタックしました。

OKTA-488912

スーパー管理者が、標準ロールのリソースを編集（Edit resources to a standard role）ページでグループを検索する場合、3文字以上入力するまで検索結果が表示されませんでした。

OKTA-489049

管理者がOkta End-User Dashboardのタスク（Tasks）タブをクリックし、エンタイトルメントが多数あった場合、ページの読み込みに時間がかかりすぎてWebブラウザが応答しなくなりました。

OKTA-491194

カスタム属性を削除すると、多数のユーザーを持つorgで決まってタイムアウトになるジョブが作成されました。

OKTA-491583

更新トークンでOIDCアプリを使用するとき、offline_accessスコープに対するユーザーの同意が取り消された場合でも、クライアントが既存のリフレッシュトークンを通じてアクセストークンを取得できていました。

OKTA-493059

管理者は、証明書チェーンをツリー形式でアップロードできませんでした。

OKTA-493075

管理者ロールの割り当て（Admin Role Assignments）レポートに、重複したレコードが含まれることがありました。

OKTA-493119

外部IdPを介してサインインしようとしたユーザーの一部は、レート制限エラーを受け取り、サインインページに戻ることができませんでした。

OKTA-496025

LDAPインターフェイスの削除（Delete）ダイアログに疑問符がありませんでした。

OKTA-497934

グループ検索エンドポイントは、最後のメンバーシップの更新を反映していませんでした。

OKTA-498383

一部の読み取り専用管理者は、ポリシーの割り当てを編集することができました。

OKTA-501623

ユーザープロファイルの更新と非アクティブ化を同時に行うと、ユーザーが永続的な非アクティブ化（DEACTIVATING）ステータスになることがありました。

OKTA-501729

管理者が、ユーザーは初回のログイン時にパスワードを変更する必要があります（User must change password on first login）オプションを選択して新しいユーザーを作成した場合、ユーザーのステータスが誤ってパスワード失効（PASSWORD_EXPIRED）ではなくアクティブ（ACTIVE）に設定されました。

OKTA-502404

orgのサブドメインが変更された場合、ユーザーが一時的にサインインできなくなっていました。

OKTA-502620

ユーザーを割り当て（Assign People）で、許可されたグループから削除されたユーザーが依然として利用可能になっていました。

OKTA-503017

プロファイル登録（Profile Enrollment）ページで、管理者がデフォルトポリシーを削除することができました。ページの更新後、デフォルトのプロファイル登録ポリシーが復元されましたが、そのポリシーを編集しようとすると空白のページが表示されました。

OKTA-503377

代理認証が無効になっているときに、ユーザーはADSSOを使用してOktaにサインインできました。

OKTA-503378

代理認証が無効になっているときに、ユーザーは引き続きOkta IWA Webエージェントを使用してOktaにサインインできました。

OKTA-503715

Linux RADIUSインストーラーのダウンロード（Downloads）ページに表示されるファイルサイズとハッシュ値が正しくありませんでした。

OKTA-505960H

管理者がOkta Admin Consoleからリソース（Resources） > ヘルプセンター（Help Center）リンクをクリックしても、Okta Help Centerに自動的にサインインされませんでした。

Okta ADエージェント、バージョン3.11.0

このバージョンのエージェントには以下の変更が含まれています。

• サポートされる.NETの最小バージョンを4.6.2に引き上げました。インストーラーが.NET 4.6.2以降を検出しない場合は、インストールされないようになりました。

• セキュリティの強化

• サポートされていないライブラリの削除

「Okta Active Directory Agentのバージョン履歴」を参照してください。

Okta ADFSプラグイン、バージョン1.7.10

このバージョンのプラグインには、バグ修正とセキュリティ強化が含まれています。「Okta ADFSプラグインのバージョン履歴」を参照してください。

Okta RADIUS Agent、バージョン2.17.4

このバージョンのエージェントには、バグ修正とセキュリティ強化が含まれています。「Okta RADIUS Server Agentのバージョン履歴」を参照してください。

Okta On-Prem MFAエージェント、バージョン1.5.0

このバージョンのエージェントには、セキュリティ強化が含まれています。「Okta On-Prem MFAエージェントのバージョン履歴」を参照してください。

Jira Authenticator、バージョン3.1.8

このリリースにはバグ修正が含まれています。「Okta Jira Authenticatorのバージョン履歴」を参照してください。

Okta Resource Centerへのアクセス

Okta Resource Centerは、新機能や、Okta Admin Console内でタスクを実行する方法について学習するのに役立つ、製品ツアー、ステップバイステップガイド、およびお知らせのコレクションです。Okta Admin Consoleのどこからでも、青いアイコンをクリックすると、Okta Resource Centerを起動できます。「Oktaリソースセンター」を参照してください。

Azure ADの条件付きアクセスにOkta MFAを使用し、ビジネスの登録にWindows Helloを使用する

Okta MFAは、次の目的で使用できます。

• フェデレーションを行ったOffice 365アプリインスタンスに対する、Azure ADの条件付きアクセスMFA要件を満たす。
• エンドユーザーをWindows Hello for Businessに登録する。

「Okta MFAを使用してOffice 365向けのAzure AD MFAの要件を満たす」を参照してください。

セルフサービスによるパスワードリセットおよびデフォルトの登録ページに関するOkta Sign-In Widget の機能強化

Oktaは、新規の、およびアップグレードされたすべてのOkta Identity Engine orgでの埋め込み権限付与のためにセルフサービスによるパスワードリセット機能を有効にしました。埋め込み認証を使用した統合の場合、クライアントアプリケーションは、Okta Sign-In Widget を起動して復旧フローを開始するときに復旧トークンを使用できるようになりました。さらに、/{orgurl}/signin/registerの新しいエンドポイントにより、Okta Sign-In Widget がデフォルトアプリケーションの登録ページを直接参照できるようになります。

クライアントシークレットのローテーションとキー管理

サービスやアプリケーションのダウンタイムなしにクライアントシークレットをローテーションすることは困難です。さらに、JSON Webキーの管理が面倒になる場合もあります。クライアントシークレットのローテーションをシームレスなプロセスにすると同時に、JWK管理を改善するために、重複するクライアントシークレットの作成と、JWKキーペアの管理をOkta Admin Consoleで行えるようになりました。外部ツールを使用せずに、Okta Admin ConsoleからJWKキーのペアを作成することもできます。「OIDCアプリのシークレットとキーを管理する」を参照してください。

個人ID検証

個人ID検証がOkta Identity Engineでサポートされるようになりました。「スマートカードIdPを追加する」を参照してください。

Org2OrgのOAuth 2.0を使用したOkta APIアクセス

以前、Org2Org統合では、Okta APIへのトークンベースのアクセスのみをサポートしていました。Org2Org統合を構成し、OAuth 2.0クライアントとしてOkta APIにアクセスできるようになりました。これにより、アクセスの範囲が制限され、資格情報をローテートするためのより優れたメカニズムが提供されるため、セキュリティが向上します。「Okta Org2OrgをOktaと統合する」を参照してください。

Okta Sign-In Widget のカスタムヘルプリンク

管理者は、Okta Sign-In Widget のAuthenticatorページにカスタムヘルプリンクを追加できます。このリンクは、多要素認証に関するジャストインタイムヘルプを提供し、社内リソースまたはほかの場所を指すことができます。

PKCEはOIDC SPAとネイティブアプリの統合の確認方法です

OIDC App Integration Wizardは、PKCEがクライアント認証方法ではないことを識別するようになりました。代わりに、SPAとネイティブアプリの場合、AIWは検証方法としてPKCEをリストするアプリを作成します。「AIWを使用してOIDCアプリ統合を作成する」を参照してください。

カスタム管理者ロールにエージェント許可を追加する

カスタム管理者は、アクセス権を持つADインスタンスに対してADエージェントの自動更新を実行できます。また、エージェントのダッシュボードページを表示して、管理できるアプリインスタンスに関連付けられているすべてのエージェントのステータスを確認することもできます。「Oktaエージェントの自動更新」を参照してください。

管理者ダッシュボードのグループ数のヒント

管理者ダッシュボードの概要（Overview）セクションで、グループ（Groups）数に対して「Oktaソースのグループのみを含み、ADグループなどの外部から提供されたグループを除外します」というヒントが表示されるようになりました。この新しいヒントは、グループ数の計算方法を理解するのに役立ちます。概要（Overview）セクションのグループ（Groups）数にカーソルを合わせると、ヒントが表示されます。「orgの概要を表示する」を参照してください。

Okta End-User Dashboardの機能強化

• 未読の通知がユーザーにわかりやすくなっています。

• Okta End-User Dashboardのプレビュー機能バーは別のダイアログに移動しました。「エンドユーザーのダッシュボードをプレビューする」を参照してください。

• Okta End-User Dashboardの下部にある［Last sign in（最後のサインイン）］リンクは、メッセージのテキスト全体がハイパーリンクに含まれるようになりました。

• Okta End-User Dashboardの［copy password（パスワードをコピー）］ダイアログのタイトルが、より具体的になりました。

ゾーンブロックイベントのSystem Log機能強化

• System Logのzone.make_blacklistイベントが、管理者がブロックされたネットワークゾーンを作成する場合と、管理者が既存のブロックされたゾーンをブロック解除としてマークする場合の2つのアクションを包括するようになりました。以前、このイベントは、既存のネットワークゾーンがブロックリストに変換されたときにのみ記録されていました。

• zone.remove_blacklist System Logイベントイベントが、ネットワークゾーンが許可リストに変換される場合と、管理者がブロックされたゾーンを削除する場合の2つのアクションを包括するようになりました。以前、このイベントは、既存のネットワークゾーンが許可リストに変換されたときにのみ記録されていました。

ネットワークゾーンイベントのSystem Log機能強化

ネットワークゾーンIDが、System Log内のすべてのネットワークゾーンイベントのターゲットとして追加されるようになりました。

Okta ThreatInsightの機能強化

Okta ThreatInsightが改善され、悪意のあるアクターによるレート制限の消費に対する保護が強化されます。脅威レベルが高いアクターからのリクエストは、orgの構成に応じて引き続きログに記録されるかブロックされます（あるいはその両方が実行されます）。現在、悪意があるように見えても脅威レベルが低い追加のリクエストは、orgのレート制限にカウントされなくなりました。

認証ポリシーの多要素認証の検証の機能強化

認証ポリシーを作成する場合、管理者は、orgで有効化され、関連付けられたユーザーグループが使用できるAuthenticatorのみを選択できます。

OINカタログの機能強化

OINカタログへの統合は、エンドユーザーがさまざまな業界の問題に対処するのに役立ちます。Oktaは、業界ごとに統合をフィルタリングする機能を追加し、将来のOktaユーザーと現在のOktaユーザーの両方が、ニーズに最適なOIN統合を特定できるようにしました。さらに、OINカタログインターフェイスが更新され、以下のようにナビゲーションが改善されて強化されました。

• 検索インターフェイスが更新され、人気の検索語を選択できるようになりました。

• 統合の詳細ページが更新され、使いやすくなりました。

• ナビゲーションブレッドクラムがOINカタログに追加されました。

• アルファベット順および最近追加された順で、統合を並べ替えることができるようになりました。

「既存のアプリ統合を追加する」を参照してください。

OINカタログ検索機能とフィルターの更新

• OINカタログの検索結果では、検索フレーズから完全に一致する単語が優先されるようになりました。

• OINカタログの統合は、RADIUS機能によってフィルタリングできるようになりました。

「既存のアプリ統合を追加する」を参照してください。

OIN Managerの機能強化

OIN Managerは、SCIM統合のISV送信で、統合がAPI応答タイミング要件を満たしていることを確認する必要があります。「OIN統合を公開する」を参照してください。

OKTA-386570

LDAPインターフェイスのバインドリクエストが失敗した場合、以降の検索は、許可拒否エラーではなく内部サーバーエラーで失敗しました。

OKTA-435855

Oktaまたはアプリでログイン開始（Login Initiated By Either Okta or App）オプションが選択されている場合、認証コード付与タイプまたはInteraction Code grant typeで作成されたWebおよびSPAアプリ統合は、誤ってエラーを返しました。

OKTA-476570

SP起点フロー中にユーザーが無効な資格情報を入力した場合、System Logにアプリ名が表示されませんでした。

OKTA-476896

管理者（Administrators）ページで、割り当てられた管理者ロールを持つ非アクティブ化されたユーザーが個別の割り当て（Individually assigned）の数に含まれていました。

OKTA-477494

一部の無効なEL式が誤って検証に合格していました。

OKTA-477634

一部のユーザーは、Okta End-User Dashboardでアプリを検索する際に遅延が発生していました。

OKTA-481752

ユーザーがOkta Verifyに登録しようとしたときに、VoiceOverスクリーンリーダーで、モバイルデバイスのタイプが正しく強調表示されませんでした。または、ユーザーがデバイスを選択できませんでした。また、 Android オプションも利用可能でしたが、iPhoneオプションが選択されました。

OKTA-482266

証明書が提供されない、または期限切れの証明書が提供されたPIV認証中に、404エラーが表示されました。

OKTA-482435

管理者がアプリをSAML 2.0にアップグレードしたとき、SAML 2.0のセットアップ手順では、アプリスコープの証明書ではなくorgスコープの証明書が使用されていました。

OKTA-483062

カスタムアプリケーションのアクセスエラーページが、デフォルトのOktaエラーページにリダイレクトされました。

OKTA-484366

AD LDS LDAPサーバーをOktaと統合する場合に、管理者がobjectGuid属性を一意の識別子として使用できませんでした。

OKTA-486141

プロファイル登録ポリシーの下でインラインフックが登録され、使用されている場合、管理者はフックを非アクティブ化または削除することができました。このことにより、そのポリシーがセルフサービス登録に使用されたとき、エラーが発生しました。

OKTA-486974

内部IDがポリシーのSystem Logイベントに誤って表示されました。

OKTA-488233

同じユーザー名に対する並列JITリクエストにより、重複したユーザーが作成されました。

OKTA-488234

Okta Identity Engineにアップグレードした後、一部のorgでサインインページが正しく読み込まれませんでした。

OKTA-488428

アプリドロワー機能が有効になっていると、一部のユーザーはアプリのパスワードを表示することができなくなりました。

OKTA-488663

フル機能のコードエディター（Full Featured Code Editor）が有効になっている場合、エラーページのコードエディターの全画面表示切り替えが最小化アイコンに変わりませんでした。

OKTA-489050

管理者がOkta Admin Consoleでアプリケーションを表示すると、エラーメッセージが表示されることがありました。

OKTA-489448

SP起点フローで、ユーザーにアカウントを作成するように指示するメッセージの形式が正しくありませんでした。

OKTA-490811

登録されていないデバイスが、デバイス管理を必要とするアプリにアクセスしようとしたとき、サインインリクエストが適切に失敗しませんでした。

OKTA-491164

一部の管理者は、管理者ロールが割り当てられたグループに追加されたとき、Okta Admin Consoleを割り当てられませんでした。

OKTA-491264

スーパー管理者が、メール通知が含まれるカスタム管理者ロールを削除すると、管理者がメール通知設定を更新できないことがありました。

OKTA-495549

グループがLDAPインターフェイスのディレクトリ情報ツリーで公開されている場合、entryDn属性を参照する一部のフィルターは、グループが見つからない場合に誤った結果コードを返しました。

OKTA-495598

ADでパスワードをリセットした、ADをソースとするユーザーは、IWAまたはADSSOを使用してOktaにサインインするときに、パスワードを再度リセットする必要がありました。

アプリ統合の修正

以下のSWAアプリが正しく動作していなかったため、修正しました。

Okta On-Prem MFAエージェント、バージョン1.4.9

このバージョンのエージェントには、セキュリティ強化が含まれています。「Okta On-Prem MFAエージェントのバージョン履歴」を参照してください。

すべてのブラウザー用のOkta Browser Plugin、バージョン6.9.0

このバージョンには以下の変更が含まれています。

• ユーザーがプラグインポップオーバーウィンドウで新しいアプリリストに切り替えようとすると、キーボードナビゲーションが適切に機能しませんでした。ユーザーはキーボードを使用してプラグインポップオーバーウィンドウを閉じることができませんでした。
• プラグインバージョン6.8.0によって一部のユーザーがiframeでSWAアプリにサインインしようとすると問題が生じていました。

「Okta Browser Pluginのバージョン履歴」を参照してください。

管理者エクスペリエンスの再設計：切り替え機能の削除

スーパー管理者が管理者エクスペリエンスの再設計と古いエクスペリエンスを切り替えることができる切り替え機能が削除されました。すべてのOkta管理者は、スタイルを一新したOkta管理者ダッシュボード、応答性の高いナビゲーションサイドバー、モダンな見た目と使い心地を利用できるようになりました。

Office 365サインオンポリシーでカスタムクライアントを許可または拒否する

Office 365アプリのサインオンルールで特定のクライアントをフィルタリングして、Office 365リソースへのアクセスを許可または拒否することができます。このフィルターを使用して、信頼できないクライアントへのアクセスを拒否したり、信頼できるクライアントのみを許可することができます。「Office 365サインオンポリシーでカスタムクライアントを許可または拒否する」を参照してください。

エンドポイント統合

デバイス統合ページにエンドポイントセキュリティ（Endpoint Security）タブが追加され、管理者がWindows Security CenterおよびCrowdStrikeとのエンドポイント統合を管理できるようになりました。エンドポイント検出および応答（EDR）と統合することで、同じデバイスで実行されているEDRクライアントによって収集されるシグナルをOkta Verifyがキャプチャできるようになるため、デバイス状態の評価が拡充されます。「エンドポイントセキュリティ統合」を参照してください。

Okta FastPassの機能強化

Okta FastPassでは、必要なときにユーザー検証が提供されていない場合、Okta Sign-In Widget にエラーが表示されるようになりました。

ADグループメンバーシップ同期の改善

ユーザーをOktaグループに追加したときに、一致するグループがADに存在した場合、ADAppUser識別名フィールドが更新されるようになりました。Oktaのプロビジョニング要求でユーザーを新しい組織単位に移動すると、その変更がADにすばやく反映されます。この新機能により、ADグループのメンバーシップ情報の正確性と整合性を確保できます。「Active Directoryユーザーとグループを管理する」を参照してください。

新しいアプリドロワー

Okta End-User Dashboardの更新されたアプリ設定パネルにより、エンドユーザーは複数のセクションを展開しなくても、すべてのアプリの詳細を1つのビューで確認することができます。エンドユーザーは、ユーザー名とパスワードを設定したSWAアプリと、ユーザー設定を追加せずに管理者が管理するSAML/OIDCアプリをすばやく区別できます。更新されたアプリ設定パネルでは、スクリーンリーダーのサポートと色のコントラストが改善され、アクセシビリティも向上しています。「アプリ設定ページを表示する」を参照してください。

ShareFile REST OAuth

管理者は、ShareFile統合の最新バージョンにアップグレードできるようになりました。OAuthはより安全な認証を提供し、プロビジョニングとインポートに使用されるようになります。「ShareFile OAuthとRESTを構成する」を参照してください。この機能はすべてのorgで利用できます。

エンドユーザー向けの最近のアクティビティページのリンク

最近のアクティビティ（Recent Activity）が有効になっている場合、ユーザーは左側のナビゲーションバーのフッターにある最後のサインイン（Last sign in）をクリックして、最近のアクティビティ（Recent Activity）ページに直接移動できます。

レート制限ダッシュボードで利用可能なバーストレート制限

Okta Admin Consoleから利用できるレート制限ダッシュボードには、レート制限の警告と違反に加えて、Okta orgのバースト制限に関するデータが含まれるようになりました。違反ダッシュボードは、スコープの拡大を示すために「イベント」に名前が変更され、タイムラインとイベントのタイプ（警告、バースト、および違反）でフィルタリングする機能が含まれています。グラフのバーストレートにカーソルを合わせると、個々のエンドポイントの呼び出しの詳細とシステムログへのリンクが表示されます。個々の使用状況（Usage）グラフは、個々のAPIのバーストに関する詳細情報を提供します。「レート制限ダッシュボード」および「バーストレート制限」を参照してください。

新しいOkta ThreatInsight強制適用アクション

検出された脅威レベルに基づいてログを記録し、セキュリティを強制適用するようにOkta ThreatInsightを構成すると、Okta ThreatInsightは、疑わしいIPアドレスからの認証要求を制限またはブロックすることができます。たとえば、特定のIPアドレスで悪意のあるアクティビティを行う疑いがあるが、その脅威レベルは低いと考えられる場合、そのIPアドレスからの認証要求については、アクセスは拒否しないがレート制限が設けられる可能性があります。「Okta ThreatInsightを構成する」を参照してください。

PIV IDPユーザープロファイルマッピング

個人ID検証（PIV）IDPのIDPユーザー名をマッピングするときに、Oktaユーザープロファイルでidpuser.subjectUidを使用できるようになりました。スマートカードIDプロバイダーを追加するを参照してください。

デフォルトポリシーの更新

デフォルトグローバルセッションポリシーとデフォルト認証ポリシーは、任意の2つの要素を使用するユーザーにアクセスを許可するようになりました。「グローバルセッションポリシー」を参照してください。

グローバルセッションポリシーのデフォルトルール

管理者が、orgのデフォルトグローバルセッションポリシーのデフォルトルールでプライマリ要素条件を編集できるようになりました。「グローバルセッションポリシーを更新する」を参照してください。

カスタムアプリのロゴのプレビュー

管理者が、アプリに適用する前にカスタムロゴをプレビューできるようになりました。「アプリケーションロゴをカスタマイズする」を参照してください。

Microsoft Graph APIのエラーメッセージの更新

Microsoft Graph APIのエラーメッセージが更新され、詳細および考えられる回避策が含まれるようになりました。

トークン交換のデバッグロギング

OAuth2トークン交換イベントのデバッグを支援するために、次のフィールドがSystem Logに追加されました。

• requested_token_type
• subject_token_type
• actor_token_type
• resource

SAMLセットアップ手順の更新

SAML 2.0アプリのセットアップ手順で、アプリの作成時にアプリごとのSHA2証明書を使用するようになりました。

OKTA-442031

Okta Admin Consoleアプリでステップアップ認証が必要なときに、一部のOkta Mobileサインインフローが管理者に対して機能しませんでした。

OKTA-456484

Authenticator登録ページに複数のAuthenticatorが表示されている場合、Authenticatorリストに戻る（Return to authenticator list）リンクが表示されませんでした。

OKTA-460284

SAP Litmosのインポートが予期しないエラーで失敗しました。

OKTA-467278

認証中にOkta Verifyでエラーが発生した場合、または認証がキャンセルされた場合、ユーザーがセキュリティメソッドを選択するように再度求められる前に遅延が発生しました。

OKTA-472816

アプリ管理者がエージェント（Agents）タブを選択すると、エラーメッセージ「Error rendering agents monitor table（エージェントモニターテーブルの表示中にエラーが発生しました）」が表示され、エージェントが一覧表示されませんでした。

OKTA-473180

SAML1.1アサーションのAssertionIdの形式が正しくないことがありました。

OKTA-475767

グループ（Groups）ページの説明（Description）列で、LDAPをソースとするグループの名前のスラッシュ（/）が等号（=）に置き換えられることがありました。

OKTA-475774

代理認証が無効になっているときに、ユーザーはADSSOを使用してOktaにサインインできました。

OKTA-478467

エージェントモニター（Agent monitors）ページを表示する許可を持たない管理者が、エージェント自動更新メール通知を受け取っていました。

OKTA-478537

管理者が認証ポリシーを検索したとき、最初の100個のポリシーしか表示されませんでした。この問題は、アプリケーション（Applications）ページおよび 認証ポリシー ページの両方で発生していました。

OKTA-479110

カスタマイズ（Customizations） > メール（Emails）ページの送信者のメールアドレスが、個人のテンプレートの送信者のメールアドレスと一致しませんでした。

OKTA-479701

最近のアクティビティ（Recent Activity）ページのセキュリティイベント（Security Events）セクションで、管理者のアカウントに関係のないイベントが表示されました。

OKTA-482086

一部の管理者は、1年以上前に作成されたリソースセットを使用してレポートを実行しようとすると、エラーが発生しました。

OKTA-483011

IWA再生攻撃の検出が有効になっていると、デプロイ中にOkta IWAエージェントの認証が失敗することがありました。

アプリ統合の修正

以下のSWAアプリが正しく動作していなかったため、修正しました。

• MyFonts（OKTA-476809）

• Quickbooks Time Tracker（OKTA-476695）

Okta Active Directory Password Syncエージェント、バージョン1.5.0

このバージョンのエージェントには以下が含まれています。

• セキュリティの強化。

• サポート対象バージョンを.NET Framework 4.6.2以上に変更。古いバージョンはエージェントのインストール中に自動的にアップグレードされる。

• Okta Military Cloudのサポート。

「Okta Active Directory Password Syncエージェントのバージョン履歴」を参照してください。

Okta ADエージェント、バージョン3.10.0

このバージョンのエージェントには以下が含まれています。

• Okta Military Cloudのサポート。

• バグの修正。

「Okta Active Directory Agentのバージョン履歴」を参照してください。

Okta LDAP Agent、バージョン5.12.0

このバージョンのエージェントには、Okta Military Cloudのサポートが含まれています。「Okta LDAP Agentのバージョン履歴」を参照してください。

カスタム管理者ロールのイベントフック

カスタム管理者ロールイベントをイベントフックとして使用できるようになりました。これにより、管理者がタスクを実行するための適切な許可を持っていることが保証されるため、管理者のセキュリティが強化されます。「イベントフック」を参照してください。

OAuth 2.0 /authorizeおよび/login/login.htmエンドポイントのクライアントモードごとに制限とログを強制適用する

OAuth 2.0 /authorizeおよび/login/login.htmエンドポイントのデフォルトのクライアントベースのレート制限がクライアントごとの制限およびログを強制（推奨）（Enforce limit and log per client (recommended)）モードに引き上げられました。これは、orgのクライアントベースのレート制限が以前に何もしない（Do nothing）またはクライアントごとのログ（Log per client）に設定されていた場合、設定がクライアントごとの制限およびログを強制（推奨）（Enforce limit and log per client (recommended)）モードに変更されることを意味します。

2022年2月3日と2022年2月25日に送信されたメール通信に基づき、これらの変更は特定のorgには適用されないことに注意してください。「デフォルトのクライアントベースのレート制限モードの変更」を参照してください。

新しいOkta ThreatInsight強制適用オプション

Okta ThreatInsightは、認証リクエストを評価して、疑わしい行動を示すIPアドレスから潜在的に悪意のあるアクティビティを検出します。ログに記録し、脅威レベルに基づいてセキュリティを強制適用します（Log and enforce security based on threat level）オプションを有効にすると、Okta ThreatInsightは、検出された脅威レベルに基づいて、疑わしいIPアドレスからの認証リクエストを制限またはブロックできます。たとえば、特定のIPアドレスで悪意のあるアクティビティを行う疑いがあるが、その脅威レベルは低いと考えられる場合、そのIPアドレスからの認証要求については、アクセスは拒否しないがレート制限が設けられる可能性があります。レート制限は、疑わしいIPアドレスからのリクエストが認証サービスに過負荷をかけたり、正当なトラフィックに影響を与えたりしないようにするのに役立ちます。ただし、悪意のあるアクティビティを行う疑いのあるIPアドレスで脅威レベルが「高」と検出された場合は、そのIPアドレスからの認証要求がブロックされます。「Okta ThreatInsightを構成する」を参照してください。

カスタムメッセージテンプレートの検証

デフォルトのSMSメッセージ（SMS message）テンプレートをカスタマイズする場合、Okta Admin Consoleはメッセージを確認し、GSM文字または非GSM文字のいずれが含まれているかを判断し、各文字の制限数を適用してからメッセージを保存します。この確認により、メッセージセグメントのGSMまたは非GSM文字制限を超えるカスタムSMSメッセージを作成しないようにします。

既存のカスタムテンプレートを変更した場合、メッセージに非GSM文字が含まれていると、新しい制限が適用されます。

SMSテンプレートのカスタマイズの詳細については、「テレフォニーの構成と使用」を参照してください。

Okta FastPassのOkta Sign-In Widget の更新

Webviewを使用するAndroidネイティブアプリにユーザーがアクセスする場合、Okta Sign-In WidgetにOkta FastPassでサインインする（Sign in with Okta FastPass）ボタンが表示されなくなりました。Webviewはこの機能をサポートしていません。

コピーボタンの更新

Okta End-User Dashboardのアプリ設定パネルで、ユーザー名フィールドとパスワードフィールドのコピーボタンの名前がユーザー名をコピーする（Copy username）とパスワードをコピーする（Copy password）に変更されました。

OKTA-419847

On-Prem MFAのAPIトークンに、エージェントの動作に必要なスコープを超えるスコープが含まれていました。

OKTA-433751

エンドユーザーのSWAアプリのパスワードにアンパサンド（&）が含まれていると、Okta End-User Dashboardからそのアプリにアクセスするときにエラーが発生していました。

OKTA-436486

一部のorgで、速度変数を含むメールテンプレートを保存できませんでした。これは、拡張メールマクロが有効になっているorgで発生していました。

OKTA-442296

Okta End-User Dashboardにサインインした一部のエンドユーザーに、400エラーが表示されていました。

OKTA-443777

AD LDS LDAPサーバーをOktaと統合する場合に、管理者がobjectGuid属性を一意の識別子として使用できませんでした。

OKTA-456046

Okta Identity Engineにアップグレードしているorgで、Okta Identity EngineでサポートされていないSharePointオンプレミス版アプリインスタンスがそのorgに存在する旨のエラーが発生していました。

OKTA-459571

Okta Admin Consoleで、RADIUS Agentのステータスが稼働中（Operational）から障害（Disrupted）にランダムに変化していました。

OKTA-459778

カスタマイズされたOkta Sign-In Widget が、Okta Sign-In Widget のコードエディターのプレビューと一致していませんでした。

OKTA-460366

セキュリティ（Security） > ネットワーク（Networks） > IPゾーンを追加（Add IP Zone）で、プロキシーIPアドレスが信頼できるプロキシーIPアドレスとして明示的に識別されていませんでした。

OKTA-461015

Okta Sign-In Widget でユーザーがパスワードを変更した後に、不審なアクティビティのレポート（Report Suspicious Activity）ページにイベント情報が表示されていませんでした。

OKTA-461198

カスタム管理者ロール機能を有効にすると、読み取り専用管理者に、アプリケーション（Applications）ページのユーザーに割り当てる（Assign to People）、グループに割り当て（Assign to Groups）、ユーザーを編集（Edit User）の各ボタンが表示されていました。

OKTA-462025

カスタムURLドメインウィザードでページを更新した管理者が正しい手順に戻ることができませんでした。

OKTA-462114

${user.login}変数が、デフォルトのメールテンプレートに表示されていました。

アプリ統合の修正

以下のSWAアプリが正しく動作していなかったため、修正しました。

• AppSplit（OKTA-462294）
• Auth0（OKTA-456042）
• Dockerhub（OKTA-463515）
• FinServ（OKTA-463959）
• LoansPQ（OKTA-462410）
• MeridianLink LoansPQ（OKTA-460940）
• New Relic（OKTA-464710）
• ProtonMail（OKTA-463545）
• Salto Keys（OKTA-464469）
• WePay（OKTA-462296）
• Wikispaces（OKTA-462300）

Okta On-Prem MFAエージェント、バージョン1.4.8

このバージョンのエージェントにはセキュリティ修正が含まれています。「Okta On-Prem MFAエージェントのバージョン履歴」を参照してください。

Okta Active Directory Agent、バージョン3.8.0

このバージョンのエージェントには以下が含まれています。

• エージェントの自動更新のサポート
• 問題の解決を支援するためのログ機能の改善
• バグの修正

「Okta Active Directory Agentのバージョン履歴」を参照してください。

Okta RADIUS Serverエージェント、バージョン2.17.2

このバージョンのエージェントにはセキュリティ修正が含まれています。「Okta RADIUS Server Agentのバージョン履歴」を参照してください。

Okta Admin Consoleのユーザーインターフェイスの変更

デバイス統合（Device Integrations）ページのエンドポイント管理（Endpoint Management）タブに、レガシーDevice Trustデスクトップ構成のアクティブ化/非アクティブ化（Activate/Deactivate）アクションが追加されました。また、信頼されていないデバイスに対してOkta Identity Engineアプリのサインオンポリシーが正しく構成されていない場合に、管理者がDevice Trustを非アクティブ化しようとしたときの警告メッセージも含まれています。

System LogでのSMSメッセージの配信ステータス

管理者は、SMSメッセージの配信ステータスをSystem Logで確認できるようになりました。新しいイベントタイプの詳細については、「テレフォニーの構成と使用」を参照してください。

機能名の変更：新しいサインオン通知

管理者ダッシュボードやメール通知のタイトルなどで、新しいデバイスの通知（New Device Notification）機能の名前が新規サインオンに関する通知（New Sign-On Notification）に変更されました。これは、認識されないデバイスからサインインイベントが発生したときにユーザーに送信されるメール通知を指します。

カスタム管理者ロールの新しい権限

次の新しい権限をカスタム管理者ロールに割り当てることができるようになりました。

• ユーザーをアクティブ化する

• ユーザーを非アクティブ化する

• ユーザーを一時停止する

• ユーザーの使用停止を解除する

• ユーザーを削除する

• ユーザーをロック解除する

• ユーザーセッションを削除

• ユーザーのAuthenticatorをリセット

• ユーザーパスワードをリセットする

• ユーザーの一時パスワードを設定する

• インポートを実行する

新しい権限により、スーパー管理者は委任されたorgの権限をより細かく制御できるようになります。「ロールの権限について」を参照してください。

YubiKey OTP認証が利用可能になりました

YubiKeyの1回限りのパスワード（OTP）モードの認証を、Okta Identity Engineユーザーが使用できるようになりました。「ワンタイムパスワード用にYubiKeyを構成する」を参照してください。

OKTA-420065

Okta End-User Dashboardのサインイン時に起動（Launch on sign-in）アプリが、ユーザーのサインイン後に複数回起動していました。

OKTA-448006

一部のブランドページで、新しいテーマのロゴではなく、orgの以前にアップロードされたロゴが使用されていました。

OKTA-452612

一部のorgのトークンインラインフック要求データにユーザーコンテキストが含まれていませんでした。

OKTA-453969

一部のDuoユーザーは、Okta Identity Engineへのアップグレード後に認証できませんでした。

OKTA-454206

スーパー管理者権限を持たない一部の管理者に、管理者ロールの割り当て（Admin role assignments）レポートへのリンクが表示されることがありました。これは、カスタム管理者ロールの機能が有効なorgで発生していました。

アプリ統合の修正

以下のSWAアプリが正しく動作していなかったため、修正しました。

• Bendigo Bank（OKTA-454211）

• EdgeCast（OKTA-453148）

• Maxwell Health（OKTA-454213）

• My T-Mobile（OKTA-455732）

• Redis（OKTA-454218）