Okta Identity Engineリリースノート（プレビュー）

最新リリース
Preview orgの機能

バージョン：2025.07.0

2025年7月

一般提供

自動ローテーションによるOrg2OrgのOAuth 2.0プロビジョニング

複数orgアーキテクチャ（Oktaハブアンドスポークorgなど）をデプロイする管理者は、ユーザーとグループのプロビジョニングを保護する必要があります。OAuth 2.0スコープのトークンを使用したプロビジョニングには、より詳細なアクセス権限の設定、トークンの短い有効期間、キーの自動ローテーションなど、APIトークンに比べていくつかの利点があります。Admin Consoleから直接、Org2OrgアプリのプロビジョニングにOAuth 2.0の自動ローテーションを有効化できるようになりました。

「Okta Org2OrgをOktaと統合する」を参照してください。

AMFA orgのUniversal Logout

今までのAMFA orgでは、すべてのアプリでユーザーのアクセスを迅速に取り消すことができませんでした。この新機能を使用すると、AMFA orgは、レート制限があるAdmin ConsoleからUniversal Logoutを手動でトリガーして、すべてのデバイスでユーザーのアクセストークン、リフレッシュトークン、アクティブセッションの取り消しできます。これにより、すべてのトークンとセッションを確実に終了できるため、セキュリティと効率を強化できます。「Universal Logoutを構成する」を参照してください。

エンドユーザー設定のセキュリティ強化

エンドユーザー設定バージョン2.0では、新しいアクセストークンを付与する前にポリシー評価を実行するようになりました。

クレーム共有の強化

Identity Engine org間のクレーム共有で、認証方法チェーンを含む、認証ポリシーとグローバルセッションポリシーのルールを含められるようになりました。この機能拡張により、管理者がorg間シナリオで認証を設計する際の柔軟性が高まります。「SAML IDプロバイダーを追加する」を参照してください。

Okta LDAPエージェント、バージョン5.24.0

このバージョンのエージェントには以下が含まれています。

構成ファイルが暗号化されるようになりました。
ローカルLDAPエージェント構成ファイルの予期せぬ変更を監視します。
インストールの問題のデバッグを支援するためにinstall.logが作成されました。
セキュリティの強化

高度なポスチャチェックの機能強化

管理者が高度なポスチャチェックを構成して、デバイス保証ポリシーのチェックボックスまたはテキストボックスとして表示できるようになりました。

Google Workspaceの改善

Google Workspaceアプリ統合のパフォーマンスを向上させるために、次の変更が加えられました。

グループ関連のエラー処理を強化
グループのインポートが無効な場合、インポート時に重複するグループ作成の削除

管理者が開始するセキュリティ方式の新しいラベル

［自分の設定］>［セキュリティ方式］ページで、管理者が開始するセキュリティ方式に［管理者によって登録］ラベルが表示されるようになりました。

ライセンスグループUIの改善

ユーザーとグループの割り当てタブで、［プライマリライセンス］の下にMicrosoft O365ライセンスがグループ化されるようになりました。ライセンスは折りたたみドロップダウンメニューとして表示され、プライマリライセンス名のみが表示されます。ドロップダウンメニューを展開すると、その下にあるすべてのサブライセンスが表示されます。

プロファイル同期プロビジョニングの新しいカスタム属性

プロファイル同期プロビジョニングで、Office 365のカスタム属性がいくつかサポートされるようになりました。「Office 365のプロビジョニングに対応しているユーザープロファイル属性」を参照してください。

OINウィザードのユーザープロファイル属性に関する新しい検証ルール

OINウィザードでは、EL式で属性値を参照するときに、有効なユーザープロファイルプロパティーを使用する必要があります。システムは、許可リストに含まれていない無効なユーザーEL式と属性を拒否します。「属性ステートメントを定義する」を参照してください。

サブスクリプションを管理のボタンを削除

設定ページから、サブスクリプションを管理のボタンを削除しました。

早期アクセス

OIDCトークンエンドポイントのネットワーク制限はプレビュー内のEAです

OIDCトークンのエンドポイントにネットワーク制限を適用して、トークンのセキュリティを強化できるようになりました。「OpenID Connectアプリ統合を作成する」を参照してください。

Okta統合IdPタイプはプレビュー内のEAです

Okta統合IdPを使用すると、Okta orgを外部IdPとして使用でき、構成を簡素化して安全なデフォルトを提供できます。「Okta統合IDプロバイダーを追加する」を参照してください。

Universal Directoryマップのトグル

新しいUniversal Directory （UD）マップのトグルを使用すると、管理者はユーザーのメールアドレスをユーザーIDにリンクできます。これにより、管理者はセルフサービス登録機能を有効化できます。「一般的なセキュリティ」を参照してください。

パスワード有効期限フローのOAMP保護

この機能により、Okta Account Managementポリシーでパスワード有効期限フローを保護すると、顧客orgのセキュリティポスチャが改善されます。パスワード有効期限フローには、orgのOkta Account Managementポリシーに定義された保証が必要になりました。「パスワードの有効期限を有効化する」を参照してください。

Identity Governance管理者アプリのMFAを強制適用する

Identity Governance管理者アプリのMFAの強制適用は、セルフサービスの早期アクセス機能として利用することはできなくなりました。この機能を有効または無効にするときは、管理者はOktaサポートに問い合わせる必要があります。「Admin ConsoleのMFAを有効にする」を参照してください。

LDAPでプロビジョニングされたユーザーのOUの移動

管理者がOktaをLDAPプロビジョニング設定に構成するときに、グループ割り当てを変更することでユーザーを別の組織単位（OU）に移動できるようになりました。「OktaをLDAPプロビジョニング設定に構成する」を参照してください。

Okta Hyperspaceエージェント、バージョン1.5.1

このバージョンには、セキュリティ強化が含まれます。

LDAPエージェント構成ファイルの変更をモニタリングするためのシステムログイベント

LDAP エージェントが構成ファイルの変更を検出すると、system.agent.ldap.config_change_detectedイベントが生成されます。

Oracle EBS用On-prem Connector

Oracle EBS用On-prem Connectorは、Oracle EBSオンプレミスアプリをOkta Identity Governanceに接続します。これにより、管理者はOktaで直接Oracle EBSエンタイトルメントを検出、表示、管理できます。この統合により、セキュリティの強化、時間の節約、権限管理の合理化ができて、カスタム統合の必要性がなくなります。「Oracle EBS用On-prem Connector」と「On-prem Connectorでサポートされるエンタイトルメント」を参照してください。

Oktaとデバイスポスチャープロバイダーの統合

デバイスポスチャープロバイダー機能は、外部デバイスのコンプライアンス信号をOktaポリシーエンジンに統合することで、ゼロトラストセキュリティを強化します。今まで、Oktaではサードパーティツールやカスタムツールからのシグナルを活用してアクセスポリシーを適用できませんでした。今後、外部コンプライアンスサービスからのSAML/ OIDCアサーションを受け入れることで、管理者はカスタムコンプライアンス属性をデバイス保証ポリシーに組み込むことができるようになりました。これにより、組織はOkta内で既存のデバイスの信頼信号を活用し、追加のエージェントや冗長なツールを使用することなく、より柔軟で安全なポスチャを促進できます。「Oktaとデバイスポスチャプロバイダーを統合する」を参照してください。

修正

デバイス保証の猶予期間機能が、Chrome Device Trustユーザーには適用されていませんでした。（OKTA-817660）
プロビジョニングが有効になっていないアプリインスタンスで、グループプッシュエラーが表示されていました。（OKTA-924631）
システムログのsecurity.breached_credential.detectedイベントに、クライアントの場所、IPアドレス、ユーザーエージェントが表示されませんでした。（OKTA-934324）
ユーザーによる列挙の防止が有効になっているorgでは、アカウントがロックアウトされたユーザーのSign-In Widgetに誤った警告が表示されていました。（OKTA-939242）
アプリ統合で［ユーザーがアプリで再アクティブ化されている場合］オプションが有効化されている場合、切断されたADユーザーがADSSOを使って再ログインする際の最初の試行が失敗していました。（OKTA-939542）
SmartRecruitersアプリ統合のベースRole属性にロールを追加できませんでした。（OKTA-944146）
小さなビューポートを持つデバイスのユーザーはサインアウトできませんでした。（OKTA-958188）
［Attribute length（属性の長さ）］が設定されている場合、［Profile Editor］でこれまで空白だったデフォルトの属性値を編集すると失敗しました。（OKTA-958747）
侵害された資格情報の保護機能によってOktaからログアウトされた一部のユーザーのカスタム属性値がユーザープロファイルから削除されていました。（OKTA-964312）

Okta Integration Network

Cookroach Labs（SCIM）が利用可能になりました。詳細を確認してください。
Grace（OIDC）が利用可能になりました。詳細を確認してください。
Hive（SCIM）が利用可能になりました。詳細を確認してください。
Optmyzr（OIDC）が利用可能になりました。詳細を確認してください。
Planfix（SCIM）が利用可能になりました。詳細を確認してください。
Planfix（SAML）が利用可能になりました。詳細を確認してください。
Okta Identity Cloud（API統合）向けのSplunkアドオンが利用可能になりました。詳細を確認してください。

プレビュー機能

Okta Expression Languageでのuser.getGroups()関数使用の拡張

管理者は、Expression Languageをサポートするすべての機能でuser.getGroups()関数を使用できるようになりました。詳細については、「グループ関数」（https://developer.okta.com/docs/Reference/okta-expression-language/#group-functions）を参照してください。

表示されるグループメンバーシップの最大数の増加

非常に大きなグループのグループページに表示されるメンバーシップ数の最大値が100万件以上になりました。この数値をクリックすると、正確な数が表示されます。数値は2時間キャッシュされます。「グループメンバーの表示」を参照してください。

Oktaアプリの変更

次のアプリの表示およびユーザーへの割り当てができなくなりました。

Okta Access Certifications
Okta Access Requests Admin
Okta Entitlement Management

また、これらのアプリのサインオンポリシーは、Okta Admin Consoleで使用する既存のサインオンポリシーがデフォルトとして設定されます。

システムログでMFAの放棄を追跡する

user.authentication.auth_via_mfaイベントを使用して、システムログで放棄されたMFA試行を監視できるようになりました。イベント結果に2つのステータスが追加されました。

未回答：MFAプロンプトは放棄されたが、ユーザーは最終的に別のAuthenticatorを使用してサインインした。
放棄：MFAプロンプトは放棄され、ユーザーはサインインできなかった。

「システムログでMFAの放棄を追跡する」を参照してください。

Workdayによる増分インポートのサポート

Workdayに増分インポートを直ちに実行する機能が加わりました。増分インポートはフルインポートよりもはるかに速いです。ただし、ユーザーがカスタム属性のみを変更した場合は検出されないため、これらの変更を取得するには定期的にフルインポートを実行する必要があります。「増分インポート」を参照してください。

Admin Consoleへのアクセスを制限

管理者ロールが割り当てられたユーザーとグループは、デフォルトでAdmin Consoleアプリにアクセスできます。この機能を使用すると、スーパー管理者は代理管理者にアプリを手動で割り当てることを選択できます。これは、ビジネスパートナーなどアクセスの必要がない管理者やサードパーティの管理者、またはOkta APIのみを使用する管理者を有するorgに推奨されます。「管理者設定を構成する」を参照してください。

Okta FastPassの同一デバイス登録

Okta FastPassを使用しているorgで、Okta Verifyの登録プロセスが合理化されました。 - ユーザーは現在使用しているデバイスで登録を開始および完了できます。以前は、アカウントをセットアップするには2つの異なるデバイスが必要でした。 - ユーザーは登録時にorgのURLを入力する必要がなくなりました。 - 登録フローの手順が少なくなりました。この機能は、Android、iOS、macOSデバイスでサポートされています。

Admin Consoleへの新規の単一要素アクセスを防止する

この機能は、Admin Consoleへの単一要素アクセスを管理者が構成できないようにします。この機能は現在、新しいorgにのみ利用できます。

アプリケーションエンタイトルメントポリシー

管理者は、アプリを個人またはグループに割り当てる際に属性マッピングを上書きできるようになりました。また、属性をデフォルトのマッピングに戻すこともできます。「アプリケーション属性マッピングを上書きする」を参照してください。この機能は、すべてのorgで段階的に利用できるようになります。

ニックネーム要素のエンドユーザー設定

エンドユーザーは、電話、WebAuthn、Okta Verifyの要素にニックネームを付けられるようになりました。1つの要素のインスタンスを複数登録している場合は、ニックネームを付けると要素をすぐに識別しやすくなります（例：「自分の個人携帯電話」または「自分のオフィス用MacBook TouchID」）。「エンドユーザー向けドキュメント」を参照してください。これはセルフサービスの機能です。

エンドユーザーページでコンテンツセキュリティーポリシーを適用する

コンテンツセキュリティーポリシーが、カスタマイズ不可のページでカスタムドメインがあるorgのエンドユーザーページに適用されるようになりました。コンテンツセキュリティーポリシーのヘッダーにより、ブラウザーでWebページが実行できるアクションの種類を確実に認識できるようにすることで、クロスサイトスクリプトやデータインジェクションといった攻撃を検出できる追加のセキュリティーレイヤーを提供します。昨年から管理者ページにはポリシーがすでに適用され、エンドユーザーページに対してもレポートのみのモードに適用されています。今後もエンドユーザーページに対するコンテンツセキュリティーポリシーの適用を繰り返し行っていくことで、この最初のリリースよりも厳格にしていく予定です。

この機能は、すべてのorgで段階的に利用できるようになります。

システムログイベントの詳細

Oktaがセキュリティ脅威を特定すると、結果のシステムログエントリ「security.threat.detected」にイベントの詳細な理由が提供されるようになりました。「システムログ」を参照してください。

新しい柔軟なLDAP

新しいLDAPスキーマでは、メールをカスタムスキーマに移動し、名、姓、ユーザー名、UIDを任意にすることで柔軟性が向上します。これにより、LDAPスキーマに特定の属性が含まれていない場合のエラーシナリオを回避できます。

ThreatInsightのコアOkta APIエンドポイントでの対象範囲

Okta ThreatInsight対象範囲が、コアOkta APIエンドポイントに利用できるようになりました。

Okta ThreatInsightは、ヒューリスティックスと機械学習モデルに基づいて、Oktaの顧客ベース全体で悪意のあるアクティビティを一貫して示すIPアドレスのリストを更新して維持します。Okta orgにOkta ThreatInsightが有効化されている場合、これらの不正なIPアドレスからのリクエストはブロックされるか、さらに分析するために昇格されます。これまで、Okta ThreatInsightの対象範囲は、Okta認証エンドポイント（登録エンドポイントと復旧エンドポイントを含む）にのみ適用されていました。本リリースでは、認証エンドポイントに強化された攻撃パターンが検出され、非認証エンドポイントにも制限された攻撃パターンが検出されます。既存のOkta ThreatInsight構成に変更はありません。ログとブロックモード、ログモード、および除外ネットワークゾーンを使用しても、Okta ThreatInsightを有効化できます。高脅威のsecurity.threat.detectedイベントに対して、Negative IP Reputationの新しい理由が利用可能になりました。「Okta ThreatInsightのシステムログイベント」を参照してください。

SSOアプリのダッシュボードウィジェット

SSOアプリの新しいウィジェットには、選択した期間におけるorgの各アプリでのユーザーサインインイベント数が表示されます。これを使用すれば、最も頻繁に使用されるアプリを確認し、org全体の認証アクティビティを簡単に監視できます。

システムログのメール失敗イベント

管理者はシステムログでメール配信失敗イベントを表示できるようになりました。これにより、管理者がorg内のメールイベントアクティビティを適切に監視できるようになります。「システムログ」を参照してください。

セルフサービスロック解除プロセスの改善

以前のバージョンのセルフサービスロック解除（SSU）フローでは、エンドユーザーエクスペリエンスで不要な摩擦が発生していました。新しく強化されたSSU機能により、アカウントのロック解除メールにシームレスなマジックリンクエクスペリエンスが導入されます。ユーザーは、同じブラウザーを使用する場合は同意を提供する必要がなくなりました。さらに、アカウントのロック解除に成功した後、Eメールマジックリンクのクリックもアプリケーションの保証ポリシーに反映されるようになりました。保証要件が満たされた後、ユーザーはアプリケーションに直接サインインします。

セルフサービス登録エクスペリエンスの改善

セルフサービス登録（SSR）フローの以前のバージョンでは、複雑な一連のテンプレートを使用して、アクティベーションメールをエンドユーザーに送信していました。これは、簡素化されたSSRフローにより、カスタマイズされたウェルカムメッセージを含む2つのメールテンプレートのみに削減されます。アプリケーションでエンドユーザーのメールアドレスをすぐに確認する必要がある場合、Oktaでは［Registration - Activation（登録 - アクティベーション）］テンプレートを使用します。このテンプレートには、よりスムーズなサインインエクスペリエンスのためのマジックリンクが含まれています。アプリケーションへのサインインにメール確認がすぐに必要でない場合、Oktaは登録 - メール確認テンプレートを使用します。このテンプレートには、エンドユーザーがアプリケーションに正常にサインインした後に随時メール確認を完了するためのリンクが含まれています。

Office 365サインオンポリシーに追加のフィルターを選択する

管理者がアプリサインオンポリシーを作成するときに、Webブラウザーとモダン認証クライアントを区別できるように、フィルターが追加されました。

デバイス認可の付与タイプ

インターネット技術の進歩により、スマートデバイスやIoT（Internet of Things）が急増しています。消費者はこれらのデバイスで実行されるアプリケーションにサインインする必要がありますが、スマートTV、車のコンソール、サーモスタットなどのデバイスではWebブラウザーがサポートされていないか、入力機能が制限されています。その結果、ユーザーはエラーが発生しやすく時間のかかる、安全でない認証ソリューションを利用することになります。

デバイス認可付与機能はOAuth 2.0の付与タイプで、入力に制約のあるデバイスだけでなく、Webブラウザーのないデバイスにもサインインできます。この機能により、ユーザーはラップトップや携帯電話などのセカンダリデバイスを使用して、そのようなデバイスで実行されるアプリケーションへのサインインを完了することができます。