Okta Identity Engineリリースノート(プレビュー)
バージョン:2025.11.0
2025年11月
一般提供
Admin Consoleの新しい検索ロジック
スポットライト検索では、「次を含む」ロジックを使用して、検索語の先頭のみではなく、任意の部分から一致を返すようになりました。これにより、管理者はより迅速かつ簡単に結果を確認できます。「Okta Admin Consoleの検索」を参照してください。
ADエージェント変更に関する新しいSystem Logイベント
System Logイベントsystem.agent.ad.config.change.detectedでは、OktaサポートがADエージェント構成を変更した日時がレポートされます。(OKTA-1047077)
カスタムドメインおよび証明書
Oktaでは、カスタムドメインにSHA 384およびSHA 512署名証明書の使用をサポートするようになりました。「カスタムドメインを構成する」を参照してください。
パートナー管理者ポータルのアプリスイッチャー
パートナー管理者ポータルで、アプリスイッチャーを使用してアプリに移動できるようになりました。
Okta Active Directory Agent、バージョン3.22.0
このリリースには、LDAPSのサポートとバグ修正が含まれています。「Okta Active Directory Agentのバージョン履歴」を参照してください。
Office 365 WS-Federation構成のユーザビリティ向上
サインインページでのWS-Federation構成インターフェイスが改善されて、わかりやすくなりユーザビリティが向上しました。
- [設定手順を表示]ボタンの再配置により、視覚的なレイアウトが最適化されました。
- 親ドメインと子ドメインの関係を視覚化するために新しい表示オプションが追加されました。
最後に使用したAuthenticatorの記憶:Okta FastPass
Oktaは、ユーザーがSign-In Widgetで[Okta FastPassでサインインする]をクリックした場合、最後に使用したAuthenticatorとしてFastPassを記憶するようになりました。
パスキーとセキュリティキーのサブドメインサポート
Oktaでは、Okta orgまたはカスタムドメイン、およびその下位のすべてのサブドメインのパスキーまたはセキュリティキーを使用してユーザーが認証できるようになりました。これにより、フィッシング耐性のある認証が実現でき、アクセスドメインごとに各ユーザーに複数のパスキーやセキュリティキーを発行する必要がなくなります。「FIDO2(WebAuthn)Authenticatorを構成する」を参照してください。
Oktaとデバイスポスチャプロバイダーを統合する
デバイスポスチャープロバイダー機能は、外部デバイスのコンプライアンス信号をOktaポリシーエンジンに統合することで、ゼロトラストセキュリティを強化します。今まで、Oktaではサードパーティツールやカスタムツールからのシグナルを活用してアクセスポリシーを適用できませんでした。今後、外部コンプライアンスサービスからのSAML/ OIDCアサーションを受け入れることで、管理者はカスタムコンプライアンス属性をデバイス保証ポリシーに組み込むことができるようになりました。これにより、orgはOkta内で既存のデバイスの信頼信号を利用して、追加のエージェントや冗長なツールを使用することなく、より柔軟で安全なポスチャを促進できます。「Oktaとデバイスポスチャプロバイダーを統合する」を参照してください。
Androidデバイスのパスキー
OktaではAndroidデバイスが生成するパスキーを受け入れるようになりました。これらのパスキーを信頼できるWebドメインに関連付け、ユーザーがそのパスキーを使用して認証できるようにします。これにより、Oktaでパスキーの使用をサポートするデバイスタイプの数が増えます。「FIDO2(WebAuthn)Authenticatorを構成する」を参照してください。
カスタムアプリのOAuth付与タイプオプション
OAuth 2でカスタムSWAまたはSAMLアプリのSCIMプロビジョニングを構成する場合、付与タイプを[認証コード]または[クライアントの資格情報]に設定できます。「SCIMプロビジョニングをアプリ統合に追加する」を参照してください。
本人確認のマッピングに利用できるUniversal Directory属性の追加
管理者は、本人確認(IDV)ベンダーに検証クレームを送信する際に、さらに多くのUniversal Directory属性をマッピングできるようになりました。これにより、検証の精度が向上し、管理者はIDVベンダーに送信される属性を制御できます。「Oktaから本人検証ベンダーにプロファイル属性をマッピングする」を参照してください。
関連ドメイン
関連ドメインを利用することで、アプリ、参照ドメイン、そのドメインに関連付けられるユーザーの資格情報、Okta内の自社ブランドの間に信頼関係を構築できます。この機能により、FIDO2 (WebAuthn) authenticatorのパスキーなどのフィッシング耐性のあるAuthenticatorを簡単に採用できます。「関連ドメインを構成する」を参照してください。
Okta Verifyとカスタムプッシュ方式の自動選択
Oktaは、Okta Verify(OV)とカスタムプッシュ方式が、保証要件を満たす唯一のオプションである場合、自動選択するようになりました。以前は、一部のシナリオにて、ユーザーはこれらの方法を手動で選択する必要がありました。この更新により、余分な手順が排除されます。
Okta Access Requests Webアプリのセキュリティ強化
Okta Access Requests Webアプリでは、新しいアクセストークンを付与する前にポリシー評価を実行するようになりました。
Okta Access Requests WebアプリでのUniversal Logout
Okta Access Requests WebアプリでUniversal Logoutがサポートされるようになりました。これにより、管理者はUniversal Logoutがトリガーされると、ユーザーをこのアプリから自動的にサインアウトさせることができます。「Universal Logoutに対応するサードパーティアプリ」を参照してください。
早期アクセス
パスワードの複雑さの要件
Oktaでは、ユーザーがパスワードに入力できる、連続した繰り返し文字の数を制限できるようになりました。パスワードの複雑性の要件が、 Active DirectoryおよびLDAPをソースとするユーザーにも適用されるようになりました。この変更により、パスワードの複雑性のオプションが拡張され、この保護が適用されるユーザープロファイルタイプが増えるため、 orgのセキュリティが強化されます。「パスワードAuthenticatorを構成する」を参照。
新しいカスタム管理者権限
新しいカスタム管理者権限を使用すると、アプリのサインイン、グローバルセッション、Oktaアカウント管理ポリシーの読み取り、または読み取りと書き込みが可能になります。これにより、 org内の管理者権限の粒度をきめ細かくできます。「リソースセットを作成する」を参照してください。
エンタイトルメント管理統合の送信
独立系ソフトウェアベンダー(ISV)から、SCIM 2.0ベースのエンタイトルメント管理統合をOkta Integration Network(OIN)に送信できるようになりました。この機能強化により、顧客とIT管理者がOktaから直接、ロールや権限などのきめ細かいエンタイトルメントを検出、管理、割り当てられるようになります。エンタイトルメント管理を標準化することで、組織はアクセスの割り当てを自動化し、Identity Governanceを合理化して、ユーザーが手動で介入することなく適切なアクセスとロールを割り当てられるようにできます。詳細については、「OINウィザードで統合を送信する」を参照してください。
Windowsのデバイス保証:ウイルスおよび脅威の保護
管理者は、Chromeブラウザーを使用するWindowsデバイスでウイルスおよび脅威の保護を有効にすることを要求するデバイス保証条件を強制適用できるようになりました。このセルフサービスEA機能により、アクセスを付与する前にユーザーのデバイスがアクティブなウイルス対策ソフトウェアで保護されるようにして、orgのセキュリティポスチャを強化できます。
ユーザーによる列挙の防止の強化
管理者は、ユーザーが不明なデバイスまたはブラウザーからサインインした後に列挙の防止がトリガーされた場合に、ユーザーに求める認証方法を構成できるようになりました。これにより、サインイン試行に対する保護が強化されて、orgのセキュリティ保護が向上します。「一般的なセキュリティ」を参照してください。
Okta Verifyによるユーザー検証のインラインステップアップフロー
エンド ユーザーは、現在の登録が不十分な場合でも、高いユーザー検証(UV)レベルを必要とする認証ポリシーを簡単に満たすことができます。この機能により、ユーザーにはUVの必要な有効化手順が事前に案内されます。そのため、管理者はより厳格な生体認証UVポリシーを自信を持って実装し、ユーザーロックアウトのリスクをなくし、UVの不一致に関連するサポートの問い合わせを減らすことができます。「Okta Verifyユーザー検証設定に基づくユーザーエクスペリエンス」を参照してください。
修正事項
-
Okta Verifyのエラーにより、一部のユーザーが、高度なポスチャチェック機能が有効になっているorgにサインインできませんでした。エラーはSystem Logに記録されませんでした。(OKTA-897459)
-
一部のユーザーで、ドロップダウンメニューが正しく表示されず、画面間で保持されていました。(OKTA-955890)
-
アプリサインインポリシーに認証方法チェーンが含まれている場合、別のデバイスでOkta Verifyを登録したユーザーが、別の認証方法を使用して2台目のデバイスでOkta Verifyへのインライン登録を完了できませんでした。(OKTA-908311)
-
パスワードポリシーで許可されていない場合でも、一部のユーザーがアカウントのロックを解除できました。(OKTA-984362)
-
アプリケーションコンテキストを外部IdPに送信する機能が有効になっているorgで、アプリ名の末尾に空白があると、ユーザーはアプリにアクセスできませんでした。(OKTA-998869)
-
ADパスワードのリセットが、例外で失敗することがありました。(OKTA-1004233)
-
Safariブラウザーを使用してAccess Requests Webアプリを操作すると、リクエスト内のチャットで@を使って別のユーザーをタグ付けできませんでした。(OKTA-1005685)
-
フィッシング攻撃が検出された場合に、イベントがSystem Logに記録されないことがありました。(OKTA-1006043)
-
orgで統一された要求者のエクスペリエンス機能が有効になっている場合、削除されたリクエストタイプが再表示されることがありました。(OKTA-1040545)
-
LDAPエージェントインストーラーで正常にエージェントが登録されたが、インストールに失敗した場合、エージェントが誤って運用可能と表示されました。(OKTA-1045661)
Okta Integration Network
-
Harmonyに
okta.users.manage、okta.groups.read、およびokta.groups.manageのスコープが追加されました。 -
Valos(OIDC)に新しいリダイレクトURIがあります。詳細を確認してください。
-
Chronicles of Higher Education(SWA)が更新されました。
-
1VALET(SAML)の属性ステートメントが更新されました。
-
Fabrix Smart Actions(APIサービス)に
okta.groups.manageスコープが追加されました。 -
Boston Properties(SWA)が更新されました。
-
Holistiplan SSO(SAML)が利用可能になりました。詳細を確認してください。
-
Mimecast Human Risk Integration(APIサービス)が利用可能になりました。詳細を確認してください。
-
Aglide(SAML)が利用可能になりました。詳細を確認してください。
-
Aglide(SCIM)が利用可能になりました。詳細を確認してください。
-
SmarterSign Digital Signage(OIDC)が利用可能になりました。詳細を確認してください。
-
SmarterSign Digital Signage(SCIM)が利用可能になりました。詳細を確認してください。
ドキュメントの更新
Okta Aerialのドキュメント
以下の更新によって、Okta Aerialのドキュメントがhelp.okta.comに追加されました。
- Aerialカードがホームページに追加。
- Aerialオプションがドキュメントのドロップダウンリストに追加。
- Aerialリリースノートがリリースノートのドロップダウンリストに追加。
Okta Aerialを使用すると、複数のOkta orgを1つの一元化されたアカウントから管理できます。Aerialアカウントは他のorgの外部に存在し、Aerialアカウントにリンクされた任意の本番またはPreview orgを管理できます。Aerialアカウントごとに専用のAerial orgがあり、環境内の接続されたorgへのアクセスをリクエストおよび付与できるAerial管理者を招待できます。「Okta Aerial」を参照してください。
プレビュー機能
リアルタイム更新によるインポートモニタリングの強化
インポートモニタリングダッシュボードから、インポートについてリアルタイムの進行状況を確認できるようになりました。これにより、現在処理中のデータチャンクの数など、進行中のインポートについて現在のステータスに対する可視性が高まります。
Workdayによる増分インポートのサポート
Workdayに増分インポートを直ちに実行する機能が加わりました。増分インポートはフルインポートよりもはるかに速いです。ただし、ユーザーがカスタム属性のみを変更した場合は検出されないため、これらの変更を取得するには定期的にフルインポートを実行する必要があります。「増分インポート」を参照してください。
Okta FastPassの同一デバイス登録
Okta FastPassを使用しているorgで、Okta Verifyの登録プロセスが合理化されました。 - ユーザーは現在使用しているデバイスで登録を開始および完了できます。以前は、アカウントをセットアップするには2つの異なるデバイスが必要でした。 - ユーザーは登録時にorgのURLを入力する必要がなくなりました。 - 登録フローの手順が少なくなりました。 この機能は、Android、iOS、macOSデバイスでサポートされています。
Admin Consoleへの新規の単一要素アクセスを防止する
この機能は、Admin Consoleへの単一要素アクセスを管理者が構成できないようにします。この機能は現在、新しいorgにのみ利用できます。
アプリケーションエンタイトルメントポリシー
管理者は、アプリを個人またはグループに割り当てる際に属性マッピングを上書きできるようになりました。また、属性をデフォルトのマッピングに戻すこともできます。「アプリケーション属性マッピングを上書きする」を参照してください。この機能は、すべてのorgで段階的に利用できるようになります。
ニックネーム要素のエンドユーザー設定
エンドユーザーは、電話、WebAuthn、Okta Verifyの要素にニックネームを付けられるようになりました。1つの要素のインスタンスを複数登録している場合は、ニックネームを付けると要素をすぐに識別しやすくなります(例:「自分の個人携帯電話」または「自分のオフィス用MacBook TouchID」)。「エンドユーザー向けドキュメント」を参考にしてください。これはセルフサービスの機能です。
エンドユーザーページでコンテンツセキュリティーポリシーを適用する
コンテンツセキュリティーポリシーが、カスタマイズ不可のページでカスタムドメインがあるorgのエンドユーザーページに適用されるようになりました。コンテンツセキュリティーポリシーのヘッダーにより、ブラウザーでWebページが実行できるアクションの種類を確実に認識できるようにすることで、クロスサイトスクリプトやデータインジェクションといった攻撃を検出できる追加のセキュリティーレイヤーを提供します。昨年から管理者ページにはポリシーがすでに適用され、エンドユーザーページに対してもレポートのみのモードに適用されています。今後もエンドユーザーページに対するコンテンツセキュリティーポリシーの適用を繰り返し行っていくことで、この最初のリリースよりも厳格にしていく予定です。
この機能は、すべてのorgで段階的に利用できるようになります。
システムログイベントの詳細
Oktaがセキュリティ脅威を特定すると、結果のシステムログエントリ「security.threat.detected」にイベントの詳細な理由が提供されるようになりました。「システムログ」を参照してください。
新しい柔軟なLDAP
新しいLDAPスキーマでは、メールをカスタムスキーマに移動し、名、姓、ユーザー名、UIDを任意にすることで柔軟性が向上します。これにより、LDAPスキーマに特定の属性が含まれていない場合のエラーシナリオを回避できます。
ThreatInsightのコアOkta APIエンドポイントでの対象範囲
Okta ThreatInsight対象範囲が、コアOkta APIエンドポイントに利用できるようになりました。
Okta ThreatInsightは、ヒューリスティックスと機械学習モデルに基づいて、Oktaの顧客ベース全体で悪意のあるアクティビティを一貫して示すIPアドレスのリストを更新して維持します。Okta orgにOkta ThreatInsightが有効化されている場合、これらの不正なIPアドレスからのリクエストはブロックされるか、さらに分析するために昇格されます。これまで、Okta ThreatInsightの対象範囲は、Okta認証エンドポイント(登録エンドポイントと復旧エンドポイントを含む)にのみ適用されていました。本リリースでは、認証エンドポイントに強化された攻撃パターンが検出され、非認証エンドポイントにも制限された攻撃パターンが検出されます。既存のOkta ThreatInsight構成に変更はありません。ログとブロックモード、ログモード、および除外ネットワーク ゾーンを使用しても、Okta ThreatInsightを有効化できます。高脅威のsecurity.threat.detectedイベントに対して、Negative IP Reputationの新しい理由が利用可能になりました。「Okta ThreatInsightのシステムログイベント」を参照してください。
SSOアプリのダッシュボードウィジェット
SSOアプリの新しいウィジェットには、選択した期間におけるorgの各アプリでのユーザーサインインイベント数が表示されます。これを使用すれば、最も頻繁に使用されるアプリを確認し、org全体の認証アクティビティを簡単に監視できます。
システムログのメール失敗イベント
管理者はシステムログでメール配信失敗イベントを表示できるようになりました。これにより、管理者がorg内のメールイベントアクティビティを適切に監視できるようになります。「システムログ」を参照してください。
セルフサービスロック解除プロセスの改善
以前のバージョンのセルフサービスロック解除(SSU)フローでは、エンドユーザーエクスペリエンスで不要な摩擦が発生していました。新しく強化されたSSU機能により、アカウントのロック解除メールにシームレスなマジックリンクエクスペリエンスが導入されます。ユーザーは、同じブラウザーを使用する場合は同意を提供する必要がなくなりました。さらに、アカウントのロック解除に成功した後、メールマジックリンクのクリックもアプリの保証ポリシーに反映されるようになりました。保証要件が満たされた後、ユーザーはアプリに直接サインインします。
セルフサービス登録エクスペリエンスの改善
セルフサービス登録(SSR)フローの以前のバージョンでは、複雑な一連のテンプレートを使用して、アクティベーションメールをエンドユーザーに送信していました。これは、簡素化されたSSRフローにより、カスタマイズされたウェルカムメッセージを含む2つのメールテンプレートのみに削減されます。アプリでエンドユーザーのメールアドレスをすぐに確認する必要がある場合、Oktaでは登録 - アクティベーションテンプレートを使用します。このテンプレートには、よりスムーズなサインインエクスペリエンスのためのマジックリンクが含まれています。アプリへのサインインにメール確認がすぐに必要でない場合、Oktaでは登録 - メール確認テンプレートを使用します。このテンプレートには、エンドユーザーがアプリに正常にサインインした後に随時メール確認を完了するためのリンクが含まれています。
デバイス認可の付与タイプ
インターネット技術の進歩により、スマートデバイスやIoT(Internet of Things)が急増しています。ユーザーはこれらのデバイスで実行されるアプリにサインインする必要がありますが、スマートTV、車のコンソール、サーモスタットなどのデバイスではWebブラウザーがサポートされていないか、入力機能が制限されています。そのため、ユーザーはエラーが発生しやすく時間のかかる、安全でない認証ソリューションを利用することになります。
デバイス認可付与機能はOAuth 2.0の付与タイプで、入力に制約のあるデバイスだけでなく、Webブラウザーのないデバイスにもサインインできます。この機能により、ユーザーはノートパソコンや携帯電話などのセカンダリデバイスを使用して、そのようなデバイスで実行されるアプリにサインインすることができます。