Okta Identity Engineリリースノート(早期アクセス)

早期アクセス機能

Windows向けDesktop MFAの復旧

このリリースでは、WindowsでのDesktop MFA機能が強化され、管理者が支援する復旧パスが含まれています。ユーザーがWindowsデバイスからロックアウトされた場合、管理者は時間ベースの復旧PINを発行できるようになりました。これにより、ユーザーはプライマリMFAデバイスを必要とせずにコンピューターに一時的にアクセスでき、Authenticatorの問題を解決して正常にサインインできるようになります。「WindowsにDesktop MFAの復旧を有効にする」を参照してください。

Governance代理人

スーパー管理者とユーザーは、別のユーザーを代理人として割り当て、そのGovernanceタスクを完了できます。Governanceタスクには、アクセス認定キャンペーンのレビューアイテム、およびアクセスリクエストの承認や質問、その他のタスクが含まれます。代理人を指定すると、今後のすべてのGovernanceタスク(アクセスリクエストの承認やアクセス認定のレビュー)が、元の承認者またはレビュアーではなく代理人に割り当てられます。これにより、承認者が対応不可の場合や、タスクを長期間別の関係者に再ルーティングする必要がある場合にGovernanceプロセスが停止しないようにできます。また、リクエストやレビューを手動で再割り当てする時間も短縮されます。「Governance代理人」を参照してください。

これは早期アクセス機能です。「早期アクセス機能を有効にする」を参照してください。

複数のアクティブなIdP署名証明書

Oktaでは、単一のSAML IDプロバイダー(IdP)のアクティブな署名証明書を複数サポートするようになり、ダウンタイムなしでシームレスに証明書をローテーションできるようになりました。管理者はIdP接続毎に最大2枚の証明書をアップロードできます。この改善により、IdPパートナーと緊密に連携された交換を行う必要がなくなり、証明書の有効期限切れによる認証失敗のリスクが低減されます。この機能は、Admin ConsoleとIdP Certificates APIの両方で利用できます。

デバイスシグナル収集ポリシー

新しいデバイスシグナル収集ポリシーを使用すると、管理者はOktaのデフォルト動作を上書きし、Oktaがデバイスデータを収集する方法を指定して、それを認証ポリシーの評価で使用できます。「デバイスシグナル収集ルールを作成する」を参照してください。

OIDC IDトークンのJSON Web暗号化

Oktaで保護されたカスタムアプリ統合のOIDC IDトークンを、JSON Web暗号化を使用して暗号化できるようになりました。「アプリ統合用のOIDC IDトークンを暗号化する」を参照してください。

PDF形式でのOkta Identity Governanceレポートのエクスポート

Okta Identity GovernanceレポートをPDFにエクスポートできるようになりました。エクスポート時に、レポートに含める特定の列を選択することもできます。

カスタムアプリ向けの統合クレーム生成

統合クレーム生成は、Oktaで保護されたカスタムアプリ統合のクレーム(OIDC)および属性ステートメント(SAML)を管理するための、合理化された新しいインターフェイスです。グループクレームやユーザープロファイルクレームに加えて、新しいクレームタイプ「エンタイトルメント」(OIGが必要)、「デバイスプロファイル」「セッションID」「セッションAMR」「アプリ統合にカスタムクレームを構成する」を参照してください。

Androidデバイスのパスキー

OktaではAndroidデバイスが生成するパスキーを受け入れるようになりました。これらのパスキーを信頼できるWebドメインに関連付け、ユーザーがそのパスキーを使用して認証できるようにします。これにより、Oktaでパスキーの使用をサポートするデバイスタイプの数が増えます。「FIDO2(WebAuthn)Authenticatorを構成する」を参照してください。

カスタムFIDO2 AAGUID

お客様は、FIDOメタデータサービス(MDS)以外のセキュリティキーや他のAuthenticatorを追加して、それらをより詳細に制御できます。これにより、FIDO2(WebAuthn)Authenticatorのサポートが幅広いセキュリティキーや他のAuthenticatorに拡張され、お客様が環境内のセキュリティをより柔軟に制御できるようになります。

エンドユーザーによる管理証明の修復

この機能強化は、すべてのOSプラットフォームの管理証明にOktaのカスタムエラー修復を拡張することで、修復を改善するものです。管理者は、管理チェックに失敗するデバイスに対して特定の修復メッセージを作成できるようになりました(デバイスがMDM管理対象外の場合など)。ユーザーはサインインフロー時に明確で実行可能な修復手順を受け取り、自分で問題をトラブルシューティングすることができます。これにより、ITヘルプデスクのチケットが減り、迅速かつ安全なアクセスが実現して、ユーザーエクスペリエンスが向上します。「デバイス保証の修復メッセージ」を参照してください。

Identity Governance管理者アプリのMFAを強制適用する

Identity Governance管理者アプリのMFAの強制適用は、セルフサービスの早期アクセス機能として利用することはできなくなりました。この機能を有効または無効にするときは、管理者はOktaサポートに問い合わせる必要があります。「Admin ConsoleのMFAを有効にする」を参照してください。

LDAPでプロビジョニングされたユーザーのOUの移動

管理者がOktaをLDAPプロビジョニング設定に構成するときに、グループ割り当てを変更することでユーザーを別の組織単位(OU)に移動できるようになりました。「OktaをLDAPプロビジョニング設定に構成する」を参照してください。

OIDCトークンエンドポイントのネットワーク制限はプレビュー内のEAです

OIDCトークンのエンドポイントにネットワーク制限を適用して、トークンのセキュリティを強化できるようになりました。「OpenID Connectアプリ統合を作成する」を参照してください。

IDアサーション認可付与(ID-JAG)発行のシステムログイベント

app.oauth2.token.grant.id_jagイベントは、アプリがOAuth 2.0トークン交換を完了し、IDアサーション認可付与(ID-JAG)JWTを取得する際に生成されます。

Okta Hyperspaceエージェント、バージョン1.5.1

このバージョンには、セキュリティ強化が含まれます。

Oracle EBS用On-prem Connector

Oracle EBS用On-prem Connectorは、Oracle EBSオンプレミスアプリをOkta Identity Governanceに接続します。これにより、管理者はOktaで直接Oracle EBSエンタイトルメントを検出、表示、管理できます。この統合により、セキュリティの強化、時間の節約、権限管理の合理化ができて、カスタム統合の必要性がなくなります。「Oracle EBS用On-prem Connector」と「On-prem Connectorでサポートされるエンタイトルメント」を参照してください。

Okta統合IdPタイプはプレビュー内のEAです

Okta統合IdPを使用すると、Okta orgを外部IdPとして使用でき、構成を簡素化して安全なデフォルトを提供できます。「Okta統合IDプロバイダーを追加する」を参照してください。

本人確認のマッピングに利用できるUniversal Directory属性の追加

管理者は、本人確認(IDV)ベンダーに検証クレームを送信する際に、さらに多くのUniversal Directory属性をマッピングできるようになりました。これにより、検証の精度が向上し、管理者はIDVベンダーに送信される属性を制御できます。「本人確認ベンダーをIDプロバイダーとして追加する」を参照してください。

プレビュー内のEAがIdPのシングルログアウトとなる

IdPのシングルログアウト(SLO)機能によって、ユーザーがアプリからサインアウトした際にIdPセッションを自動的に終了することで、共有デバイスと外部IdPを使用する組織のセキュリティが強化されます。また、この機能では、すべての新規ユーザーに対して新しい認証が必要となり、共有デバイスでのセッションハイジャックリスクが排除されます。IdP向けSLOでは、SAML 2.0接続とOIDC IdP接続の両方がサポートされます。これにより、どのような環境でも共有ワークステーションに堅牢なセッション管理が提供されます。「SAML IDプロバイダーを追加する」を参照してください。

Oracle Human Capital Managementのプロビジョニング

Oracle Human Capital Managementアプリの統合でプロビジョニングが利用できるようになりました。アプリのプロビジョニングでは、エンタイトルメント管理やPrivileged Accessなどのセキュリティ機能を有効にできます。「Oracle Human Capital Management」を参照してください。

一時アクセスコードAuthenticator

一時アクセスコード(TAC)Authenticatorを使用すると、管理者は、オンボーディング、アカウント復旧、およびその他の一時アクセスシナリオでユーザーを認証するための一時的なコードを生成できます。このAuthenticatorは、通常のAuthenticatorを使用せずにorgへのユーザーアクセスを付与することで、このようなシナリオでのセキュリティを強化します。「一時アクセスコードauthenticatorを構成する」を参照してください。

関連ドメイン

関連ドメインを利用することで、アプリ、参照ドメイン、そのドメインに関連付けられるユーザーの資格情報、Okta内の自社ブランドの間に信頼関係を構築できます。この機能により、FIDO2 (WebAuthn) authenticatorのパスキーなどのフィッシング耐性のあるAuthenticatorを簡単に採用できます。「関連ドメインを構成する」を参照してください。

侵害された資格情報の保護

侵害された資格情報の影響からorgを保護します。Oktaでは、サードパーティが選択したデータセットと比較した後、ユーザー名とパスワードの組み合わせが侵害されたと判断された場合、ユーザーパスワードのリセット、強制ログアウト、委任Workflowの呼び出しなど、パスワードポリシーにより保護応答をカスタマイズできます。「侵害された資格情報の保護」を参照してください。

この機能は5月15日から徐々に運用を開始しています。

Active DirectoryのDirSyncによるグループインポート

Active Directory(AD)統合のプロビジョニングタブに、DirSyncを使用したADによるインポートを有効にするチェックボックスが追加されました。チェックボックスを有効にすると、管理者はDirSyncを使用してグループの増分インポートを実行できます。「Active Directoryのインポートとアカウントの設定を構成する」を参照してください。

ITPのカスタム管理者ロール

この機能により、顧客は詳細なITP権限とリソースを使用してカスタムロールを作成し、ITPの構成と監視を適切な範囲で認可することができます。「ITPのカスタム管理者ロールを構成する」を参照してください。

RingCentralで新しいデフォルト電話番号ロジックを使用する

RingCentralアプリ統合で電話番号を検出および入力するロジックが更新され、DirectNumberとIntegrationNumberの両方のエントリで動作するようになりました。

LDAPエージェント構成ファイルの変更をモニタリングするためのシステムログイベント

LDAP エージェントが構成ファイルの変更を検出すると、system.agent.ldap.config_change_detectedイベントが生成されます。

Oktaとデバイスポスチャープロバイダーの統合

デバイスポスチャープロバイダー機能は、外部デバイスのコンプライアンス信号をOktaポリシーエンジンに統合することで、ゼロトラストセキュリティを強化します。今まで、Oktaではサードパーティツールやカスタムツールからのシグナルを活用してアクセスポリシーを適用できませんでした。今後、外部コンプライアンスサービスからのSAML/ OIDCアサーションを受け入れることで、管理者はカスタムコンプライアンス属性をデバイス保証ポリシーに組み込むことができるようになりました。これにより、組織はOkta内で既存のデバイスの信頼信号を活用し、追加のエージェントや冗長なツールを使用することなく、より柔軟で安全なポスチャを促進できます。「Oktaとデバイスポスチャプロバイダーを統合する」を参照してください。

自動ローテーションによるOrg2OrgのOAuth 2.0プロビジョニング

複数orgアーキテクチャ(Oktaハブアンドスポークorgなど)をデプロイする管理者は、ユーザーとグループのプロビジョニングを保護する必要があります。OAuth 2.0スコープのトークンを使用したプロビジョニングには、より詳細なアクセス権限の設定、トークンの短い有効期間、キーの自動ローテーションなど、APIトークンに比べていくつかの利点があります。Admin Consoleから直接、Org2OrgアプリのプロビジョニングにOAuth 2.0の自動ローテーションを有効化できるようになりました。

Okta Org2OrgをOktaと統合する」を参照してください。

Okta Privileged AccessでActive Directoryアカウントを管理する

この機能により、Okta AD Agentを使用してOkta Privileged Accessを通じてActive Directory(AD)アカウントパスワードを管理できます。管理者は、特定の組織単位(OU)内のアカウントに検出ルールを設定し、ユーザーアクセスのポリシーを作成して、チェックイン時またはスケジュールに従ってパスワードがローテーションされるようにできます。アクセス権を持つユーザーは、割り当てられたアカウントを表示し、パスワードを取得できます。この機能を有効にする場合は、Oktaサポートにお問い合わせください。「Active Directoryアカウントを管理する」を参照してください。

新しい本人確認プロバイダーの追加

OktaがIDプロバイダーとしてCLEAR Verifiedの使用をサポートするようになりました。これにより、ユーザーがオンボードやアカウントのリセットを行うときに、ユーザーのアイデンティティ検証に使用できる本人確認ベンダー(IDV)の数が増えます。「本人確認ベンダーをIDプロバイダーとして追加する」を参照してください。

Okta Verifyによるユーザー検証のインラインステップアップフロー

エンド ユーザーは、現在の登録が不十分な場合でも、高いユーザー検証(UV)レベルを必要とする認証ポリシーを簡単に満たすことができます。この機能により、ユーザーにはUVの必要な有効化手順が事前に案内されます。そのため、管理者はより厳格な生体認証UVポリシーを自信を持って実装し、ユーザーロックアウトのリスクをなくし、UVの不一致に関連するサポートの問い合わせを減らすことができます。「Okta Verifyユーザー検証設定に基づくユーザーエクスペリエンス」を参照してください。

Okta Device Accessのカスタム管理者ロール

カスタム管理者ロールを構成して、Okta Device Access機能を表示および管理できるようになりました。この機能強化により、ITチームは、最も高いセキュリティ権限を必要とせずにOkta Device Access機能を効果的に管理できる管理者を指定できます。「macOCにDesktop MFAの復旧を有効にする」を参照してください。

本人確認用の新しいシステムログイベント

新たな「user.identity_verification」イベントは、ID検証ベンダー(IDV)によるID検証の結果(成功または失敗)を表示します。失敗した場合は、イベントにその理由も表示されます。

パスワード有効期限フローのOAMP保護

この機能により、Okta Account Managementポリシーでパスワード有効期限フローを保護すると、顧客orgのセキュリティポスチャが改善されます。パスワード有効期限フローには、orgのOkta Account Managementポリシーに定義された保証が必要になりました。「パスワードの有効期限を有効化する」を参照してください。

高度なデバイスポスチャーチェック

高度なポスチャチェックにより、ユーザーに拡張されたデバイス保証が提供されます。これにより、管理者はOktaの標準チェックを超えるカスタマイズされたデバイス属性に基づいてコンプライアンスを適用できるようになります。この機能は、osqueryを使用することで、macOSデバイス全体でのリアルタイムのセキュリティ評価を容易にします。そのため、orgはデバイス群の可視性と制御を強化し、信頼できるデバイスのみが機密リソースにアクセスするようにできます。「デバイス保証に高度なポスチャチェックを構成する」を参照してください。

SAP Netweaver ABAP用On-prem Connector

SAP NetWeaver ABAP用On-prem Connectorは、すぐに使用できるソリューションを提供し、SAPオンプレミスアプリをOkta Identity Governanceに接続します。これにより、Oktaで直接SAPエンタイトルメント(ロール)を検出、可視化、管理できます。この統合により、カスタム統合の必要性がなくなり、エンタイトルメント管理が合理化されることで、セキュリティの強化、時間の節約、ガバナンスの簡素化が実現します。

Universal Syncの新しい属性

Universal Syncでは、次の属性がサポートされるようになりました:AuthOrigDLMemRejectPermsDLMemSubmitPermsUnauthOrig

パスワードで使用される単語をブロックする

Okta Expression Languageを使用して、パスワードで使用される単語をブロックできるようになりました。この機能により、パスワードの強度要件をカスタマイズすることでセキュリティが強化されます。

同期可能なパスキーをブロックする

認証中に同期可能なパスキーをブロックできるようになりました。以前は、登録中にのみブロックできました。これにより、ユーザーが同期可能なパスキーを提示して管理対象外の新しいデバイスを登録しようとすることを防ぎ、orgのセキュリティが強化されます。

アプリユーザーを非アクティブ化するためのセルフサービストグル

管理者はセルフサービストグルを使用して、Oktaユーザーの非アクティブ化時に個々のアプリ割り当てがどうなるのかを変更できるようになりました。有効にすると、ユーザーの個々のアプリの割り当てが一時停止ではなく非アクティブ化されます。ユーザーがOktaで再度アクティブ化されても、個々のアプリ割り当ては再アクティブ化されません。

切断されたアプリのエンタイトルメント対応

切断されたアプリとは、Okta内でLCM統合されていないアプリです。この機能を使用すると、CSVファイルを使用して、切断されたアプリからユーザーとエンタイトルメントをOktaにインポートできます。これにより、Oktaと完全に統合されていないアプリも含め、すべてのアプリで一貫したガバナンスとコンプライアンスが実現します。

Secure Partner Access管理者ポータルのMFA

パートナーの管理者ポータルアプリへのアクセスにMFA が必須になりました。

登録の猶予期間

現在、管理者がグループの登録ポリシーを定義すると、グループ全体が直ちに登録する必要があり、日常的なタスクの妨げになる可能性があります。

登録の猶予期間を使用すると、エンドユーザーは、登録が必須となる、管理者が定義した期限まで、新しいAuthenticatorの登録を延期できます。これにより、エンドユーザーは都合のよいときに登録できるようになり、認証ポリシーでAuthenticatorの新しいタイプを適用する前に、よりスムーズに登録を行うことができます。「Authenticator登録ポリシー」を参照してください。

インポートされたユーザーの再照合を強制する

この機能は完全インポートや増分インポートにかかわらず、プロファイルソースからインポートされた未確認ユーザーの再照合を強制します。インポートされたユーザーを既存のOktaユーザーと照合しようとします。この機能を有効にすると、すべてのインポートで未確認のユーザーの一致が再評価されます。

ユーザーのシステムログイベントのインポート中にエンタイトルメント同期をスキップする新機能

次のシステムログイベントが追加されました:ユーザーインポート中のエンタイトルメント同期のスキップ

Okta間のクレーム共有の強化

Okta間のクレーム共有では、シングルサインオン用のスマートカードAuthenticatorとActive Directoryの使用がサポートされるようになりました。これにより、ユーザーがすでにOkta orgに認証されている場合、サービスプロバイダーで認証する必要がなくなります。

SAP Netweaver ABAP用On-prem Connectorでサポートされる属性の追加

Okta On-prem Connectorでは、サポートされるユーザー属性が追加されて、OktaとSAP Netweaver ABAPとの統合が向上しました。