Okta Identity Engineリリースノート（早期アクセス）| Okta Identity Engine

自動ローテーションによるOrg2OrgのOAuth 2.0プロビジョニング

複数orgアーキテクチャ（Oktaハブアンドスポークorgなど）をデプロイする管理者は、ユーザーとグループのプロビジョニングを保護する必要があります。OAuth 2.0スコープのトークンを使用したプロビジョニングには、より詳細なアクセス権限の設定、トークンの短い有効期間、キーの自動ローテーションなど、APIトークンに比べていくつかの利点があります。Admin Consoleから直接、Org2OrgアプリのプロビジョニングにOAuth 2.0の自動ローテーションを有効化できるようになりました。

「Okta Org2OrgをOktaと統合する」を参照してください。

Okta Privileged AccessでActive Directoryアカウントを管理する

この機能により、Okta AD Agentを使用してOkta Privileged Accessを通じてActive Directory（AD）アカウントパスワードを管理できます。管理者は、特定の組織単位（OU）内のアカウントに検出ルールを設定し、ユーザーアクセスのポリシーを作成して、チェックイン時またはスケジュールに従ってパスワードがローテーションされるようにできます。アクセス権を持つユーザーは、割り当てられたアカウントを表示し、パスワードを取得できます。この機能を有効にする場合は、Oktaサポートにお問い合わせください。「Active Directoryアカウントを管理する」を参照してください。

デフォルトの除外IPゾーンによるASNバインディングの迂回

ASNバインディング機能は、管理者と管理者のサインイン元のIPアドレスを関連付けます。セッション中にIPが変更された場合、管理者はOktaからサインアウトされ、システムログにイベントが表示されます。IPとASNのバインディンをバイパスするには、クライアントIPをデフォルトの除外IPゾーンに追加できます。「IP除外ゾーン」を参照してください。

Oktaファーストパーティアプリのアプリスイッチャー

End-User Dashboard、Admin Console、Workflowsコンソールにアプリスイッチャーが追加され、管理者は割り当てられたOktaアプリ間をすばやく移動できるようになりました。アプリスイッチャーを表示するには、［Unified look and feel for Okta Admin Console（Okta Admin Consoleの統一された外観と操作性）］と［Unified look and feel for Okta Dashboard（Okta Dashboardの統一された外観と操作性）］の早期アクセス機能を有効にする必要があります。

End-User Dashboardの新しい外観と操作性

End-User Dashboardでは、サイドとトップのナビゲーションメニューの再設計やグレー背景の追加など、新しい外観と操作性を提供するようになりました。

新しい本人確認プロバイダーの追加

OktaがIDプロバイダーとしてCLEAR Verifiedの使用をサポートするようになりました。これにより、ユーザーがオンボードやアカウントのリセットを行うときに、ユーザーのアイデンティティ検証に使用できる本人確認ベンダー（IDV）の数が増えます。「本人確認ベンダーをIDプロバイダーとして追加する」を参照してください。

システムログでMFAの放棄を追跡する

user.authentication.auth_via_mfaイベントを使用して、システムログで放棄されたMFA試行を監視できるようになりました。イベント結果に2つのステータスが追加されました。

未回答：MFAプロンプトは放棄されたが、ユーザーは最終的に別のAuthenticatorを使用してサインインした。
放棄：MFAプロンプトは放棄され、ユーザーはサインインできなかった。

「システムログでMFAの放棄を追跡する」を参照してください。

Okta Device Accessのカスタム管理者ロール

カスタム管理者ロールを構成して、Okta Device Access機能を表示および管理できるようになりました。この機能強化により、ITチームは、最も高いセキュリティ権限を必要とせずにOkta Device Access機能を効果的に管理できる管理者を指定できます。「Desktop MFAの復旧」を参照してください。

ID検証用の新しいシステムログイベント

新たな「user.identity_verification」イベントは、ID検証ベンダー（IDV）によるID検証の結果（成功または失敗）を表示します。失敗した場合は、イベントにその理由も表示されます。

デバイス保証のためのカスタム修復

Okta VerifyまたはChrome Device Trustによるデバイスポスチャチェックの失敗により認証が失敗した場合、ユーザーにカスタム修復手順を表示できるようになりました。「デバイス保証のカスタム修復手順を構成する」を参照してください。

Admin Consoleの新しい外観と操作性

Admin Consoleでは、サイドとトップのナビゲーションメニューの再設計やグレー背景の追加など、新しい外観と操作性を提供するようになりました。

SAP Netweaver ABAP用On-prem Connector

SAP NetWeaver ABAP用On-prem Connectorは、すぐに使用できるソリューションを提供し、SAPオンプレミスアプリをOkta Identity Governanceに接続します。これにより、Oktaで直接SAPエンタイトルメント（ロール）を検出、可視化、管理できます。この統合により、カスタム統合の必要性がなくなり、エンタイトルメント管理が合理化されることで、セキュリティの強化、時間の節約、ガバナンスの簡素化が実現します。

Universal Syncの新しい属性

Universal Syncでは、次の属性がサポートされるようになりました：AuthOrig、DLMemRejectPerms、DLMemSubmitPerms、UnauthOrig。

新しい本人確認プロバイダーの追加

OktaがIDプロバイダーとしてIncodeの使用をサポートするようになりました。これにより、ユーザーがオンボードやアカウントのリセットを行うときに、ユーザーのアイデンティティ検証に使用できる本人確認ベンダー（IDV）の数が増えます。「本人確認ベンダーをIDプロバイダーとして追加する」を参照してください。

同期可能なパスキーをブロックする

認証中に同期可能なパスキーをブロックできるようになりました。以前は、登録中にのみブロックできました。これにより、ユーザーが同期可能なパスキーを提示して管理対象外の新しいデバイスを登録しようとすることを防ぎ、orgのセキュリティが強化されます。

アプリユーザーを非アクティブ化するためのセルフサービストグル

管理者はセルフサービストグルを使用して、Oktaユーザーの非アクティブ化時に個々のアプリ割り当てがどうなるのかを変更できるようになりました。有効にすると、ユーザーの個々のアプリの割り当てが一時停止ではなく非アクティブ化されます。ユーザーがOktaで再度アクティブ化されても、個々のアプリ割り当ては再アクティブ化されません。

切断されたアプリのエンタイトルメント対応

切断されたアプリとは、Okta内でLCM統合されていないアプリです。この機能を使用すると、CSVファイルを使用して、切断されたアプリからユーザーとエンタイトルメントをOktaにインポートできます。これにより、Oktaと完全に統合されていないアプリも含め、すべてのアプリで一貫したガバナンスとコンプライアンスが実現します。

Secure Partner Access管理者ポータルのMFA

パートナーの管理者ポータルアプリへのアクセスにMFA が必須になりました。

インポートされたユーザーの再照合を強制する

この機能は完全インポートや増分インポートにかかわらず、プロファイルソースからインポートされた未確認ユーザーの再照合を強制します。インポートされたユーザーを既存のOktaユーザーと照合しようとします。この機能を有効にすると、すべてのインポートで未確認のユーザーの一致が再評価されます。

ユーザーのシステムログイベントのインポート中にエンタイトルメント同期をスキップする新機能

次のシステムログイベントが追加されました：ユーザーインポート中のエンタイトルメント同期のスキップ

Okta間のクレーム共有の強化

Okta間のクレーム共有では、シングルサインオン用のスマートカードAuthenticatorとActive Directoryの使用がサポートされるようになりました。これにより、ユーザーがすでにOkta orgに認証されている場合、サービスプロバイダーで認証する必要がなくなります。

SAP Netweaver ABAP用On-prem Connectorでサポートされる属性の追加

Okta On-prem Connectorでは、サポートされるユーザー属性が追加されて、OktaとSAP Netweaver ABAPとの統合が向上しました。

外部パートナー向けのSecure Partner Access

Secure Partner Accessは、外部のビジネスパートナーがorgのリソースに安全にアクセスできるようにします。パートナー管理タスクの効率化やITの作業負荷を軽減する他にも、orgのセキュリティ要件を構成するプロセスが簡素化されます。「Secure Partner Access」を参照してください。

Okta FastPassの同一デバイス登録

Okta FastPassの同一デバイス登録が再び利用できるようになりました。この機能は、Okta Verifyの登録問題を解決するために削除されていました。Okta FastPassを使用しているorgでは、Okta Verifyの登録プロセスが合理化されました。

ユーザーは現在使用しているデバイスで登録を開始して完了できます。以前は登録に2台目のデバイスが必要でした。登録には可能であれば2FAが必要であり、2台目のデバイスが必要になる場合があることに注意してください。
ユーザーは登録時にorgのURLを入力する必要がなくなりました。
登録フローの手順が少なくなりました。

この機能は、Android、iOS、macOSデバイスでサポートされています。有効にするには、［Admin Console］［Settings（設定）］に移動し、［Same-Device Enrollment for Okta FastPass（Okta FastPass の同一デバイス登録）］をオンにします。

SSFストリームの検証

Okta SSFトランスミッターでは、検証エンドポイントをサポートして、受信者が検証イベントを要求し、トランスミッターと受信者間のエンドツーエンド配信を検証できるようになりました。SSFトランスミッター検証イベントクレームの構造も、OpenID Shared Signals Framework ID3の仕様に準拠するようになりました。

デバイス保証の猶予期間

場合によっては、ソフトウェア更新の見逃しや承認されていないネットワーク接続などの一時的な状況により、ユーザーのデバイスがセキュリティポリシーに準拠しなくなることがあります。猶予期間がなければ、重要なリソースへのアクセスが直ちにブロックされ、生産性の低下やフラストレーションの原因になります。デバイス保証機能の［Grace period（猶予期間）］を使用すると、非準拠のデバイスでもリソースにアクセスできる一時的な期間を定義できます。これにより、ユーザーがロックアウトされることなく問題を修正する時間を確保できるため、生産性とセキュリティ標準のバランスをとることができます。「デバイス保証ポリシーを追加する」を参照してください。

Okta org間での認証クレームの共有

管理者は、認証クレームの共有により、SSO中にIdPからのクレームを信頼するようにOkta orgを構成できます。クレームを共有すると、OktaはIdPからの認証コンテキストを解釈することもできます。これにより、ユーザー認証時の重複した要素チャレンジが排除され、セキュリティ体制が向上します。「SAML IDプロバイダーを追加する」を参照してください。

パスキー自動入力によるシームレスで安全な認証

パスキーはブラウザーに既存の自動入力機能を活用し、ユーザーに合理化されたサインインエクスペリエンスを提供します。これにより、ユーザーは資格情報の入力や追加プロンプトの表示に煩わされることなく、orgに迅速かつ直感的にサインインできます。この安全でフィッシング耐性のあるソリューションは、デバイス間でシームレスに動作し、強化されたセキュリティと、最新の認証ニーズに対応する利便性の両方を実現します。「FIDO2（WebAuthn）Authenticatorを構成する」を参照してください。

OIDCおよびSAMLアプリ統合の強化

［Front-channel Single Logout（フロントチャネルシングルログアウト）］機能を有効にすると、OIDCおよびSAMLアプリ統合ページに、アプリのすべてのログアウト設定を含む単一の［Logout（ログアウト）］セクションが表示されます。

Identity Governance管理者アプリのアクセスにMFAを必須にする

orgがOkta Identity Governanceを使用している場合は、ファーストパーティアプリであるOkta Access Certifications、Okta Entitlement Management、Okta Access Requests Adminにアクセスする管理者に対してMFAを必須にできます。org内でEA機能を自動的に有効にした場合は、それらのアプリに対してMFAが自動的に強制されます。「Admin ConsoleのMFAを有効にする」を参照してください。

カスタムのサインイン維持ラベル

管理者がサインインページで［Keep me signed in（サインインしたままにする）］ラベルをカスタマイズできるようになりました。

APIエンドポイントを呼び出すためのOAuth 2.0セキュリティ

Okta WorkflowsユーザーはOAuth 2.0プロトコルとOkta Orgの認可サーバーを使用して、APIエンドポイントを安全に呼び出すことができるようになりました。この早期アクセス機能は、既存のトークン認可オプションよりも安全な上に実装も簡単です。新規または既存のアプリ統合にokta.workflows.invoke.manageスコープを追加して、APIエンドポイントを呼び出せるようにします。

認証ポリシーでの生体認証によるユーザー検証

生体認証によるユーザー検証（パスコードなし）を要求する認証ポリシーが構成できるようになりました。この機能を使用すると、ユーザーがOkta FastPassまたはOkta Verify Pushで認証するときに、生体認証情報が確実に確認されます。「認証ポリシーでの生体認証によるユーザー検証」を参照してください。

Office 365向けの証明書ベースの認証

Okta Identity EngineがWS-Fed SSOリクエストに対して、証明書ベースの認証をサポートするようになりました。ユーザーはスマートカードやPIV カードで認証し、WindowsデバイスやOffice 365アプリにシームレスにアクセスできます。

SCIM 2.0対応のOkta Provisioning Agentによるエンタイトルメント管理

このエージェントは、Governance Engineが有効化されたアプリ統合のエンタイトルメント管理をサポートします。これは、Oktaとオンプレミスアプリ間でエンタイトルメントをプロビジョニングできるようにします。

継続的アクセスウィジェットが認証後セッション違反ウィジェットに変更

Identity Threat Protectionダッシュボードの継続的アクセスウィジェットの名前が、認証後セッション違反ウィジェットに変更されました。

継続的なアクセス違反はセッション違反に名前が変わりました。
継続的なアクセス評価は認証後セッション評価に名前が変わりました。

継続的アクセスが認証後セッションに変更

認証ポリシーの［継続的アクセス］タブの名前が、認証後セッションに変更されました。

Identity Threat Protectionレポートの更新

Identity Threat Protectionレポートが次のように更新されました。

［レポートリスト］ページ
- 継続的アクセス評価セクションはIdentity Threat Protectionに名前が変わりました。
- 継続的アクセス違反レポートはセッション違反レポートに名前が変わりました。
［継続的アクセス違反レポート］ページ
- 継続的アクセスインスタンスはセッションに名前が変わりました。
- 説明のレポート遅延が4時間から15分に変更されました
リスクにさらされているユーザーレポート
- 説明のレポート遅延が4時間から15分に変更されました

検証ページをスキップしてIdP Authenticatorにリダイレクト

この機能はユーザーがSign-In Widgetで確認手順をスキップできるようにします。その代わりに、ユーザーが検証のためにIdP Authenticatorにリダイレクトされます。この機能を有効にすると、Sign-In Widgetの検証をスキップするオプションがエンドユーザーに表示されます。orgがユーザーの前回のAuthenticatorを記憶するように構成されている場合は、今後のサインイン試行でユーザーがIdP Authenticatorに自動的にリダイレクトされます。

Admin Consoleへの保護されたアクセスの強化

保護されたアクションにMFAを要求するAdmin Console機能の一部として、Admin Consoleに適用可能な認証ポリシーを変更するにはステップアップ認証が必要です。

Admin Consoleへのアクセスを制限

管理者ロールが割り当てられたユーザーとグループは、デフォルトでAdmin Consoleアプリにアクセスできます。この機能を使用すると、スーパー管理者は代理管理者にアプリを手動で割り当てることを選択できます。これは、ビジネスパートナーなどアクセスの必要がない管理者やサードパーティの管理者、またはOkta APIのみを使用する管理者を有するorgに推奨されます。「管理者設定を構成する」を参照してください。

認証アクションの非表示

ユーザーが既存のセキュリティ方式をリセットまたは削除するには、Oktaアカウント管理ポリシーの要件を満たす必要があります。満たさない場合は、Authenticatorアクションが［設定］ページで非表示になります。

管理者向けのサポートケース管理

スーパー管理者は、Oktaサポートケースの表示・作成・管理の権限とサポートケースリソースをカスタム管理者ロールに割り当てることができるようになりました。これは、代理管理者が開いたサポートケースを代理管理者が管理できるようにします。

Hyperspaceエージェントの新規バージョン

このバージョンには、.NET Frameworkのバージョン4.8へのアップグレードとバグ修正が含まれます。

管理リソースのIdP選択

この機能は、顧客が管理者ロールに関連付けるIDプロバイダー（IdP）を選択して管理できるようにします。これにより、ロールにきめ細かな権限が付与され、セキュリティが強化されます。「リソースセットを作成する」を参照してください。

Google Workspaceのワンクリックフェデレーション

管理者がシンプルな統合エクスペリエンスでSSOをGoogle Workspaceにセットアップできるため、時間の節約とエラーリスクの低減につながります。

Admin ConsoleのIPバインディング

［Security（セキュリティ）］［General（全般）］［Organization Security（組織セキュリティ）］ページに、Admin Console設定用の新しいIPバインディングが追加されました。この設定を有効にすると、org内のすべての管理者セッションがサインイン元のシステムIPアドレスに関連付けられます。セッション中にIPが変わると、管理者はOktaからサインアウトされ、システムログにイベントが表示されます。「一般的なセキュリティ」を参照してください。