Okta Identity Engineリリースノート(プレビュー)

バージョン:2025.08.0

2025年8月

一般提供

デバイス保証のOSバージョンアップデート

デバイス保証ポリシーで、次のOSバージョンがサポートされるようになりました。

  • iOS(18.6)
  • macOS(13.7.7、14.7.7、15.6)

新しいパスワード有効期限メッセージ

侵害された資格情報の保護機能では、パスワードの有効期限が切れたユーザーにより直感的なエラーメッセージが表示されるようになりました。

新しいユーザープロファイル権限

新しいロールを作成ページとロールを編集ページに、ユーザーのプロファイル属性を表示権限が追加されました。この権限は、管理者にユーザープロファイル属性への読み取り専用アクセスを付与します。「ロールの権限」を参照してください。

認証ポリシーUIの更新

認証ポリシーページのUIが機能強化されました。他の機能強化に加えて、マージ、複製、削除タスクが認証ポリシーページに表示されるようになりました。これにより、ナビゲーションとユーザーエクスペリエンスが向上されます。「アプリ・サインイン・ポリシー」を参照してください。

Okta Provisioning Agent、バージョン3.0.2

Okta Provisioning Agent 3.0.2が利用可能になりました。このリリースでのOkta Provisioning Agentは、認可用のOAuth 2.0、およびOAuth 2.0 Demonstrating Proof-of-Possession(DPoP)を使用して、Oktaと安全に通信するようになりました。エージェントはOAuth 2.0デバイス登録フローから登録され、エージェントの登録に使用されたアカウントから独立して動作するようになりました。また、このリリースではUTC時刻をタイムスタンプmeta.lastModifiedのデフォルトとして使用し、セキュリティ強化とバグ修正が含まれています。「Okta Provisioning AgentとSDKのバージョン履歴」を参照してください。

「[サインイン状態を維持する]をクリア」の新しいオプション

[セッションを消去してトークンを取り消す]ダイアログでユーザーのIdPセッションと更新トークンを取り消す場合、管理者は[サインイン状態を維持する]をクリアのオプションを使用するかどうかを選択できるようになりました。

Okta Active Directory Agent、バージョン3.21.0

このリリースには、一般的な機能強化、ブランドの更新、バグ修正が含まれています。「Okta Active Directory Agentのバージョン履歴」を参照してください。

IDプロバイダーの検証

Oktaでは、管理者がIdPルーティングルールを作成する際にIDプロバイダー(IdP)を検証して、SSOに使用されるIdPのみを構成できるようにしました。

カスタムユーザー属性のデフォルト値を定義する

管理者がユーザープロファイル内のカスタム属性のデフォルト値を定義できるようになりました。カスタム属性を一意に設定すると、デフォルト値は自動的にnull(空の文字列とは異なる)に設定されます。「Oktaユーザープロファイルにカスタム属性を追加する」をご覧ください。

管理者ロールの割り当て・取り消しは保護対象アクション

管理者がユーザーの管理者ロールを割り当てる、または取り消すと、追加の認証を求められるようになりました。「Admin Consoleの保護対象アクション」を参照してください。

AMFA orgのUniversal Logout

今までのAMFA orgでは、すべてのアプリでユーザーのアクセスを迅速に取り消すことができませんでした。この新機能を使用すると、AMFA orgは、レート制限があるAdmin ConsoleからUniversal Logoutを手動でトリガーして、すべてのデバイスでユーザーのアクセストークン、リフレッシュトークン、アクティブセッションの取り消しできます。これにより、すべてのトークンとセッションを確実に終了できるため、セキュリティと効率を強化できます。「Universal Logoutを構成する」を参照してください。

パートナー管理者ポータルでのグループ更新

パートナー管理者ポータルでは、1ページに表示されるグループの数が10個ではなく最大20個になりました。さらに、検索クエリに少なくとも3文字があり、「次を含む」の検索機能がオンになっている場合、システムでは、グループリストで次から開始の検索ではなく、次を含むの検索が使用されます。

CSVインポートの自動確認

Identity Governanceが有効化され、管理者がエンタイトルメントでCSVインポートを使用する場合、メールが完全に一致すると自動確認が有効になります。

Identity Governanceユーザーエンタイトルメントのインポート制限を引き上げ

CSVからインポートできるユーザーエンタイトルメントの最大数が25,000に増えました。 「CSVからユーザーエンタイトルメントをインポートする」を参照してください。

Microsoft Entra IDの外部認証方法としてのOkta

Okta多要素認証(MFA)を使用して、Microsoft Entra IDのMFA要件を満たします。これにより、ユーザーは二重認証を回避し、OktaとMicrosoft 365アプリ間でシームレスなエクスペリエンスが提供されます。「OktaをMicrosoft Entra IDの外部認証方法として構成する」を参照してください。

アプリコンテキストを外部IdPに送信する

ユーザーがアプリへのアクセスを試みる際に、アプリに関するコンテキストを外部のIDプロバイダー(IdP)に転送できるようになりました。IdPのアプリケーションコンテキストチェックボックスを有効にすると、外部IdPに送信されるSAMLまたはOpenID Connectリクエストにアプリ名と一意のインスタンスIDが含まれます。この機能強化により、外部IdPは情報に基づいた、コンテキストに応じた認証決定を行えるようになり、高度なセキュリティシナリオとゼロトラスト環境がサポートされます。

Office 365 WS-Federationの子ドメイン認証

Office 365 WS-Federationの自動構成で、子ドメイン認証がサポートされるようになりました。「単一のアプリインスタンスで複数のOffice 365ドメインをフェデレーションする」を参照してください。

Universal Directoryマップのトグル

新しいUniversal Directory (UD)マップのトグルを使用すると、管理者はユーザーのメールアドレスをユーザーIDにリンクできます。これにより、管理者はセルフサービス登録機能を有効化できます。「一般的なセキュリティ」を参照してください。

デバイス保証のためのカスタム修復

Okta VerifyまたはChrome Device Trustによるデバイスポスチャチェックの失敗により認証が失敗した場合、ユーザーにカスタム修復手順を表示できるようになりました。「デバイス保証のカスタム修復手順を構成する」を参照してください。

OIDCアプリのカスタムプロファイル属性

管理者は、JSON形式でOIDCアプリにカスタムプロファイル属性を追加できるようになりました。「OIDCアプリのプロファイル属性を構成する」を参照してください。

侵害された資格情報の保護

侵害された資格情報の影響からorgを保護します。Oktaでは、サードパーティが選択したデータセットと比較した後、ユーザー名とパスワードの組み合わせが侵害されたと判断された場合、ユーザーパスワードのリセット、強制ログアウト、委任Workflowの呼び出しなど、パスワードポリシーにより保護応答をカスタマイズできます。「侵害された資格情報の保護」を参照してください。

Webアプリ統合で認可コードフローの使用が必須

セキュリティを強化するために、Webアプリ統合では認可コードフローの使用が必須になり、暗黙フローは推奨されなくなりました。「シングルサインオン(SSO)統合の構築」を参照してください。

早期アクセス

PDF形式でのOkta Identity Governanceレポートのエクスポート

Okta Identity GovernanceレポートをPDFにエクスポートできるようになりました。エクスポート時に、レポートに含める特定の列を選択することもできます。

Androidデバイスのパスキー

OktaではAndroidデバイスが生成するパスキーを受け入れるようになりました。これらのパスキーを信頼できるWebドメインに関連付け、ユーザーがそのパスキーを使用して認証できるようにします。これにより、Oktaでパスキーの使用をサポートするデバイスタイプの数が増えます。「FIDO2(WebAuthn)Authenticatorを構成する」を参照してください。

カスタムFIDO2 AAGUID

お客様は、FIDOメタデータサービス(MDS)以外のセキュリティキーや他のAuthenticatorを追加して、それらをより詳細に制御できます。これにより、FIDO2(WebAuthn)Authenticatorのサポートが幅広いセキュリティキーや他のAuthenticatorに拡張され、お客様が環境内のセキュリティをより柔軟に制御できるようになります。

Oracle Human Capital Managementのプロビジョニング

Oracle Human Capital Managementアプリの統合でプロビジョニングが利用できるようになりました。アプリのプロビジョニングでは、エンタイトルメント管理やPrivileged Accessなどのセキュリティ機能を有効にできます。「Oracle Human Capital Management」を参照してください。

一時アクセスコードAuthenticator

一時アクセスコード(TAC)Authenticatorを使用すると、管理者は、オンボーディング、アカウント復旧、およびその他の一時アクセスシナリオでユーザーを認証するための一時的なコードを生成できます。このAuthenticatorは、通常のAuthenticatorを使用せずにorgへのユーザーアクセスを付与することで、このようなシナリオでのセキュリティを強化します。「一時アクセスコードauthenticatorを構成する」を参照してください。

関連ドメイン

関連ドメインを利用することで、アプリ、参照ドメイン、そのドメインに関連付けられるユーザーの資格情報、Okta内の自社ブランドの間に信頼関係を構築できます。この機能により、FIDO2 (WebAuthn) authenticatorのパスキーなどのフィッシング耐性のあるAuthenticatorを簡単に採用できます。「関連ドメインを構成する」を参照してください。

IDアサーション認可付与(ID-JAG)発行のシステムログイベント

app.oauth2.token.grant.id_jagイベントは、アプリがOAuth 2.0トークン交換を完了し、IDアサーション認可付与(ID-JAG)JWTを取得する際に生成されます。

カスタムアプリ向けの統合クレーム生成

統合クレーム生成は、Oktaで保護されたカスタムアプリ統合のクレーム(OIDC)および属性ステートメント(SAML)を管理するための、合理化された新しいインターフェイスです。グループクレームやユーザープロファイルクレームに加えて、新しいクレームタイプ「エンタイトルメント」(OIGが必要)、「デバイスプロファイル」「セッションID」「セッションAMR」「アプリ統合にカスタムクレームを構成する」を参照してください。

Governance代理人

スーパー管理者とユーザーは、別のユーザーを代理人として割り当て、そのGovernanceタスクを完了できます。Governanceタスクには、アクセス認定キャンペーンのレビューアイテム、およびアクセスリクエストの承認や質問、その他のタスクが含まれます。代理人を指定すると、今後のすべてのGovernanceタスク(アクセスリクエストの承認やアクセス認定のレビュー)が、元の承認者またはレビュアーではなく代理人に割り当てられます。これにより、承認者が対応不可の場合や、タスクを長期間別の関係者に再ルーティングする必要がある場合にGovernanceプロセスが停止しないようにできます。また、リクエストやレビューを手動で再割り当てする時間も短縮されます。「Governance代理人」を参照してください。

複数のアクティブなIdP署名証明書

Oktaでは、単一のSAML IDプロバイダー(IdP)のアクティブな署名証明書を複数サポートするようになり、ダウンタイムなしでシームレスに証明書をローテーションできるようになりました。管理者はIdP接続毎に最大2枚の証明書をアップロードできます。この改善により、IdPパートナーと緊密に連携された交換を行う必要がなくなり、証明書の有効期限切れによる認証失敗のリスクが低減されます。この機能は、Admin ConsoleとIdP Certificates APIの両方で利用できます。

デバイスシグナル収集ポリシー

新しいデバイスシグナル収集ポリシーを使用すると、管理者はOktaのデフォルト動作を上書きし、Oktaがデバイスデータを収集する方法を指定して、それを認証ポリシーの評価で使用できます。「デバイスシグナル収集ルールを作成する」を参照してください。

OIDC IDトークンのJSON Web暗号化

Oktaで保護されたカスタムアプリ統合のOIDC IDトークンを、JSON Web暗号化を使用して暗号化できるようになりました。「アプリ統合用のOIDC IDトークンを暗号化する」を参照してください。

Oktaファーストパーティアプリのアプリスイッチャー

End-User Dashboard、Admin Console、Workflowsコンソールにアプリスイッチャーが追加され、管理者は割り当てられたOktaアプリ間をすばやく移動できるようになりました。アプリスイッチャーを表示するには、Okta Admin Consoleの統一された外観と操作性Okta Dashboardの統一された外観と操作性の早期アクセス機能を有効にする必要があります。

デバイスログアウト

デバイスログアウトを使用すると、管理者はDesktop MFAで保護されているデバイスからユーザーをサインアウトさせることができます。管理者は、ユーザーのリスクプロファイルからデバイスサインアウトを実行できます。orgにIdentity Threat Protection with Okta AIが導入されている場合は、サインアウトアクションを自動的にトリガーするエンティティリスクポリシーを構成できます。ユーザーが非アクティブ化または一時停止されている場合、OktaはDesktop MFAで保護されているすべてのデバイスからそのユーザーを自動的にサインアウトさせます。「ユーザーをデバイスからサインアウトさせる」を参照してください。

Cross App Access

管理者は、Okta Admin Consoleで新しいCross App Access機能を使用して、サードパーティアプリのデータ共有を管理できるようになりました。この機能により、複雑な同意プロセスがエンドユーザーからなくなり、セキュリティが強化され、エクスペリエンスが合理化されます。構成が完了すると、エンドユーザーはOAuthの同意フローに進まずに他のSaaSアプリから自身のデータにアクセスできます。「Cross App Accessを構成する」を参照してください。

修正事項

  • 管理者がOkta Provisioning Agentを使用して増分インポートを実行した場合、last.modifiedタイムスタンプが想定されたUTCではなくローカルタイムゾーンにありました。(OKTA-908307)

  • 同一のアプリにアクティブなインスタンスがある場合でも、管理者はそのアプリをリアクティベートできない場合がありました。(OKTA-944775)

  • レビュアーがレビューアイテムを承認または取り消した後、campaignItemRemediationStatusシステムログイベントの値に誤ってNONEが表示されていました。(OKTA-950851)

  • グループリソースから条件が削除された場合、リソースセットを割り当てられた管理者はグループを追加できませんでした。(OKTA-961708)

  • Oktaへの登録時に、特定のアクセス制御設定を持つorgのユーザーに正しくないAuthenticatorが表示されていました。(OKTA-963136)

  • 猶予期間が許可されているorgでユーザーが[後で通知]オプションを選択してアプリにアクセスすると、エラーが表示されることがありました。(OKTA-964324)

  • ユーザーがClassic Engineにサインイン後アプリにアクセスした場合、そのセッションが、Identity Engineにサインインしてアプリにアクセスすると上書きされていました。(OKTA-968179)

  • パートナー管理者ポータルで、一部のページの読み込みまたは更新に想定以上の時間がかかりました。(OKTA-976067)

  • ロールを編集ページの[ロールの説明]フィールドに、[ロール名]の値が表示されていました。(OKTA-984100)

  • 侵害された資格情報の保護機能が有効になっているorgでは、一部のユーザーに正しくないパスワード有効期限が表示されていました。(OKTA-984104)

  • 管理者がグループをアプリに割り当てた場合、その結果のシステムログイベントが未完了でした。(OKTA-985709)

  • パートナー管理者ポータルで特定のユーザーのユーザー属性を編集するページにアクセスした際に、列挙型配列のプロパティがユーザースキーマにあるが、ユーザープロファイルには存在しない場合、画面にフォームが表示されませんでした。(OKTA-986528)

週次のアップデート

2025.08.1:アップデート1は8月14日にデプロイメントを開始しました

一般提供

デバイス保証のOSバージョンアップデート

デバイス保証ポリシーで、次のOSバージョンがサポートされるようになりました。

  • Android 13、14、15、16セキュリティパッチ2025-08-01

PDF形式でのOkta Identity Governanceレポートのエクスポート

Okta Identity GovernanceレポートをPDFにエクスポートできるようになりました。エクスポート時に、レポートに含める特定の列を選択することもできます。

早期アクセス

Windows向けDesktop MFAの復旧

このリリースでは、WindowsでのDesktop MFA機能が強化され、管理者が支援する復旧パスが含まれています。ユーザーがWindowsデバイスからロックアウトされた場合、管理者は時間ベースの復旧PINを発行できるようになりました。これにより、ユーザーはプライマリMFAデバイスを必要とせずにコンピューターに一時的にアクセスでき、Authenticatorの問題を解決して正常にサインインできるようになります。「WindowsにDesktop MFAの復旧を有効にする」を参照してください。

修正事項

  • 管理者が、自身のアクセスリクエストの承認者として自分を割り当てる場合がありました。

  • 管理者がリソースセットを編集したときに、イベントが管理者ページの[管理者の変更]セクションに表示されませんでした。(OKTA-817804)

  • 管理者が、カスタマイズされたサインインページとエラーページを公開できなかったため、一部のユーザーには、公開済みのカスタマイズされたページの代わりにデフォルトのサインインページとエラーページが表示されていました。(OKTA-838267)

  • 既存のOIDCアプリに新しいサインインリダイレクトURIの追加を試みると、エラーが断続的に返されました。(OKTA-892769)

  • ADおよびLDAPエージェントのアップグレードに関する通知メールに、更新済みエージェントのセクションが含まれていました(セクションが存在しない場合)。(OKTA-958346)

  • 顧客提供の証明書がOktaが管理する証明書に移行されていませんでした。(OKTA-959003)

  • ドメインをカスタマイズする権限を持つカスタム管理者に、ブランドページの[ドメイン]タブに[編集]メニュー項目が表示されませんでした。(OKTA-974191)

  • 3つ以上のAuthenticatorに登録されていて、orgで復旧のユーザー列挙防止とOktaアカウント管理ポリシーが有効になっている場合、一部のユーザーはパスワードをリセットできませんでした。(OKTA-981374)

  • アプリサインインタイルが、認証ポリシーページ上の他のタイルよりも小さくなっていました。(OKTA-987744)

  • パートナー管理者ポータルで、ユーザー属性の編集ページのenum配列フィールドがユーザーのプロファイルから初期値の読み込みに失敗していました。(OKTA-988096)

  • LDAPインスタンスが非アクティブ化または再アクティブ化された場合に、関連するLDAPエージェントで現在の状態が維持されていました。(OKTA-990260)

  • LDAPインターフェイスアプリが要求者の元のIPアドレスではなくOkta IPアドレスを表示していたため、認証が失敗していました。(OKTA-991371)

  • パートナー管理者ポータルで、ページのメインコンテンツの前にサイドナビゲーションテキストが読み込まれていました。これにより、ユーザーの認証が完了する前にテキストが流れ出るような視覚的な問題が生じていました。(OKTA-991510)

  • 早期アクセス機能[Unified claims generation for Okta-protected SAML and OIDC custom app integrations(Oktaで保護されたSAMLおよびOIDCカスタムアプリ統合の統合クレーム生成)]を有効にした一部のユーザーが、アプリ統合にカスタムクレームを追加しようとすると、エラーが表示されていました。(OKTA-997102)

  • スーパー管理者がカスタムOTP Authenticatorを構成しようとするとエラーメッセージが表示され、[Authenticators]ページにAuthenticatorが表示されませんでした。(OKTA-997916)

Okta Integration Network

  • Prowler(Prowler SaaS)に新しい表示名があります。

  • Ethosに新しいリダイレクトURIがあります。

  • Prowler Cloud(SAML)が利用可能になりました。詳細を確認してください

  • 1VALETが更新されました。

  • Adobe Enterprise(SWA)が更新されました。

  • Adobe(SWA)が更新されました。

  • Apple store for Business(SWA)が更新されました。

  • Paycor(SWA)が更新されました

  • National Car Rental(SWA)が更新されました。

  • Marriott Hotels(SWA)が更新されました。

  • Desanaに新しいアイコンがあります。

  • 新しいリダイレクトURIとアイコンによるコンソールの更新(OIDC)。詳細を確認してください

  • FORAが更新されました。

  • Approveit(SAML)が利用可能になりました。詳細を確認してください

  • Bing Webmaster(SWA)が更新されました。

  • Reward Builderが利用可能になりました。詳細を確認してください

  • Staircase AI(SCIM)でEU地域がサポートされるようになりました。

2025.08.2:アップデート2は8月20日にデプロイメントを開始しました

修正事項

  • アプリを削除した際に、グループプッシュルールは削除されず、誤ったシステムログエントリがトリガーされることがありました。この修正は、すべてのorgで段階的に利用できるようになります。(OKTA-881642)

  • このアップデートにはセキュリティ強化が含まれています。(OKTA-945597)

  • レート制限の超過が原因でグループプッシュが失敗した場合に、システムログイベントにエラーではなく成功と記録されていました。(OKTA-952427)

  • Authenticator登録ポリシーで、管理者が電話Authenticatorの猶予期間の期日を選択しようとすると、電話番号が入力された自動入力ポップアップが表示されていました。(OKTA-963746)

  • 一部のユーザーがユーザー名を送信してサインインすると、エラーが表示されていました。(OKTA-963933)

  • 削除のAPI呼び出しが成功した後もアプリグループが完全に削除されず、引き続きIDで見つけることができました。この修正は、すべてのorgで段階的に利用できるようになります。(OKTA-972614)

  • 多要素認証(MFA)またはAdaptive MFAが有効になっていないorgでは、管理者が[ユーザー操作を要求する]オプションをクリアした後も、認証ポリシールールで選択されたままになっていました。(OKTA-972708)

  • ドメインをカスタマイズする権限を持つカスタム管理者に、ブランドページの[ドメイン]タブに[編集]メニュー項目が表示されませんでした。(OKTA-974191)

  • 一部のカスタム管理者ロールは、認証ポリシーとデバイスシグナル収集ポリシーに対する権限が異なっていて、これらにアクセスできませんでした。(OKTA-982043)

  • 管理者が、ADまたはLDAPでも同時にプロビジョニングされているユーザーのパスワードリセットをトリガーすると、ユーザーのステータスが破棄されました。この修正は、すべてのorgで段階的に利用できるようになります。(OKTA-982286)

  • システムログイベントPolicyRuleChangeDetailsがUIスキーマイベントを追跡していませんでした。(OKTA-984139)

  • カスタム管理者ロールを持つOkta管理者が、[アクティブ化]ボタンがないためユーザーの一時停止を解除できませんでした。(OKTA-986984)

  • IdPに複数の署名証明書が構成されていて証明書が無効な場合、検証に失敗した証明書に関する情報がシステムログに表示されませんでした。(OKTA-987881)

  • ユーザーが提供したパスワードが、Oktaが受け入れる構成済み強度要件を満たしていない場合がありました。(OKTA-988423)

  • Admin Consoleのユーザーページで、一時停止ステータスが誤って非アクティブに分類されていました。(OKTA-990078)

  • 一部のユーザーが外部IdPからサインインを試みると、エラーが発生していました。(OKTA-993126)

  • エンドユーザー設定2.0ページに、パスワードを登録できないにもかかわらず、パスワードAuthenticatorの[セットアップ]ボタンが表示されていました。(OKTA-997943)

  • カスタムSMTPサーバーが構成されているorgからのメールを送信できませんでした。(OKTA-1003170)

Okta Integration Network

2025.08.3:アップデート3は8月27日にデプロイメントを開始しました

修正事項

  • 管理者がテレフォニーインラインフックリクエストのプレビューを生成した際に、ユーザープロファイルが異なるロケールであっても、JSONプレビューにデフォルトのユーザーロケールが常に返されていました。(OKTA-799466)

  • アカウントのロック解除が無効になっているorgにサインインした際に、一部のユーザーでSign-In Widgetにアカウントのロック解除ページが表示されました。(OKTA-961600)

  • Admin Consoleで、「Active Directory groups in Okta that have been deleted in Active Directory will be removed from Okta only during full imports」というテキストが正しく日本語に翻訳されていませんでした。(OKTA-963124)

  • 一部のグループメンバーに、正しいグループ割り当てアプリへのアクセスが付与されませんでした。(OKTA-964259)

  • エンドユーザー設定2.0で200%に拡大すると、ユーザーはEscキーを使ってメニューを閉じることができませんでした。(OKTA-974265)

  • 自己ホスト型Sign-In Widgetの使用時に、一部のmacOSユーザーおよびiOSユーザーがSSO拡張機能からアプリにサインインすると問題が発生していました。(OKTA-978545)

  • 管理者が認証ポリシー内のルールの優先度を変更すると、更新されたルールのみではなく、ポリシー内のすべてのルールにSystem Logのエントリが作成されました。(OKTA-981929)

  • Sign-In Widget(第2世代)では、証明書利用者IDとドメインの検証が有効になっているorgにユーザーがサインインすると、エラーメッセージを表示されました。(OKTA-985005)

  • 結果サイズが正しくないためにADまたはLDAPのインポートが失敗した場合、システムはリセットバッチインポート(RBI)を実行せずにRBIが再実行されると示していました。(OKTA-986331)

  • 登録の保証を十分に満たせない任意のAuthenticatorをユーザーに誤って求めることがありました。(OKTA-987248)

  • Google Workspaceをプロファイルソースとしてセットアップした場合、Admin Consoleの[レルム]タブにプロファイルソースが正しく表示されませんでした。(OKTA-991246)

  • スーパー管理者がカスタムOTP Authenticatorを構成しようとするとエラーメッセージが表示され、[Authenticators]ページにAuthenticatorが表示されませんでした。(OKTA-997916)

  • 管理者がProfile Editorで列挙型属性を追加または編集しようとした場合に、デフォルト値の定義をスキップするオプションがありませんでした。(OKTA-1002231)

Okta Integration Network

2025.08.4:アップデート4は9月4日にデプロイメントを開始しました

ドキュメントの更新

既存のアクセス認定ドキュメントの変更

既存のトピックス「アクセス認定を開始する」と「キャンペーンをレビューする」のセクションが、「キャンペーンを」セクションに移動されました。

修正事項

  • ロール、リソース、管理者割り当ての表示のカスタムロール権限を持つ読み取り専用管理者が、管理者ロールの割り当てレポートを実行できませんでした。(OKTA-719485)

  • システムログに、LDAPインターフェイス認証の失敗に関して誤ったユーザーIDが表示されていました。(OKTA-869548)

  • Admin Consoleのメインダッシュボードに表示されるグループプッシュエラーの数が、タスクページに表示される数と異なっていました。(OKTA-885883)

  • カスタムメールのプレビューで、ロゴが正しく表示されませんでした。(OKTA-899903)

  • 管理者がOkta Provisioning Agentを使用して増分インポートを実行した場合、last.modifiedタイムスタンプが想定されたUTCではなくローカルタイムゾーンにありました。(OKTA-908307)

  • ユーザーがOkta VerifyデスクトップアプリからOktaに登録したときに、Okta Account Managementポリシーイベントがシステムログに記録されませんでした。(OKTA-923493)

  • 管理者がO365プロビジョニングをユーザー同期からプロファイル同期に変更すると、メール属性とデータが誤って同期されました。(OKTA-970525)

  • スマートカードを使ってアプリへの認証を行う一部のユーザーで、ステップアップ多要素認証が失敗していました。(OKTA-972725)

  • カスタムOTP Authenticatorのインスタンスが複数構成されている場合、アプリサインインポリシールールの認証方法セクションに、カスタムOTP Authenticatorが正しく表示されないことがありました。(OKTA-977123)

  • 一部のデバイスシグナル収集ポリシーイベントがシステムログに記録されませんでした。(OKTA-977755)

  • 管理者が認証ポリシー内のルールの優先度を変更すると、更新されたルールのみではなく、ポリシー内のすべてのルールにSystem Logのエントリが作成されました。(OKTA-981929)

  • ユーザーが認証後に[サインインしたままにする]を選択すると、エラーメッセージが表示されました。(OKTA-987229)

  • 一部のループバックAPIエンドポイントで、管理者に429個ものレート制限コードを発生していました。(OKTA-1000341)

  • ユーザーがアイテムの検索後にEnd-User Dashboardでリソースカタログを更新すると、検索結果が消去されていました。(OKTA-1006498)

Okta Integration Network

  • IterateがIdP起点SSOフローをサポートするようになりました。

  • MODocs AI(OIDC)が利用可能になりました。詳細を確認してください

プレビュー機能

「[サインイン状態を維持する]をクリア」の新しいオプション

[セッションを消去してトークンを取り消す]ダイアログでユーザーのIdPセッションと更新トークンを取り消す場合、管理者は[サインイン状態を維持する]をクリアのオプションを使用するかどうかを選択できるようになりました。

表示されるグループメンバーシップの最大数の増加

非常に大きなグループのグループページに表示されるメンバーシップ数の最大値が100万件以上になりました。この数値をクリックすると、正確な数が表示されます。数値は2時間キャッシュされます。「グループメンバーの表示」を参照してください。

Microsoft Entra IDの外部認証方法としてのOkta

Okta多要素認証(MFA)を使用して、Microsoft Entra IDのMFA要件を満たします。これにより、ユーザーは二重認証を回避し、OktaとMicrosoft 365アプリ間でシームレスなエクスペリエンスが提供されます。「OktaをMicrosoft Entra IDの外部認証方法として構成する」を参照してください。

アプリコンテキストを外部IdPに送信する

ユーザーがアプリへのアクセスを試みる際に、アプリに関するコンテキストを外部のIDプロバイダー(IdP)に転送できるようになりました。IdPのアプリケーションコンテキストチェックボックスを有効にすると、外部IdPに送信されるSAMLまたはOpenID Connectリクエストにアプリ名と一意のインスタンスIDが含まれます。この機能強化により、外部IdPは情報に基づいた、コンテキストに応じた認証決定を行えるようになり、高度なセキュリティシナリオとゼロトラスト環境がサポートされます。

Universal Directoryマップのトグル

新しいUniversal Directory (UD)マップのトグルを使用すると、管理者はユーザーのメールアドレスをユーザーIDにリンクできます。これにより、管理者はセルフサービス登録機能を有効化できます。「一般的なセキュリティ」を参照してください。

Workdayによる増分インポートのサポート

Workdayに増分インポートを直ちに実行する機能が加わりました。増分インポートはフルインポートよりもはるかに速いです。ただし、ユーザーがカスタム属性のみを変更した場合は検出されないため、これらの変更を取得するには定期的にフルインポートを実行する必要があります。「増分インポート」を参照してください。

侵害された資格情報の保護

侵害された資格情報の影響からorgを保護します。Oktaでは、サードパーティが選択したデータセットと比較した後、ユーザー名とパスワードの組み合わせが侵害されたと判断された場合、ユーザーパスワードのリセット、強制ログアウト、委任Workflowの呼び出しなど、パスワードポリシーにより保護応答をカスタマイズできます。「侵害された資格情報の保護」を参照してください。

Okta FastPassの同一デバイス登録

Okta FastPassを使用しているorgで、Okta Verifyの登録プロセスが合理化されました。 - ユーザーは現在使用しているデバイスで登録を開始および完了できます。以前は、アカウントをセットアップするには2つの異なるデバイスが必要でした。 - ユーザーは登録時にorgのURLを入力する必要がなくなりました。 - 登録フローの手順が少なくなりました。 この機能は、Android、iOS、macOSデバイスでサポートされています。

Admin Consoleへの新規の単一要素アクセスを防止する

この機能は、Admin Consoleへの単一要素アクセスを管理者が構成できないようにします。この機能は現在、新しいorgにのみ利用できます。

アプリケーションエンタイトルメントポリシー

管理者は、アプリを個人またはグループに割り当てる際に属性マッピングを上書きできるようになりました。また、属性をデフォルトのマッピングに戻すこともできます。「アプリケーション属性マッピングを上書きする」を参照してください。この機能は、すべてのorgで段階的に利用できるようになります。

ニックネーム要素のエンドユーザー設定

エンドユーザーは、電話、WebAuthn、Okta Verifyの要素にニックネームを付けられるようになりました。1つの要素のインスタンスを複数登録している場合は、ニックネームを付けると要素をすぐに識別しやすくなります(例:「自分の個人携帯電話」または「自分のオフィス用MacBook TouchID」)。「エンドユーザー向けドキュメント」を参照してください。これはセルフサービスの機能です。

エンドユーザーページでコンテンツセキュリティーポリシーを適用する

コンテンツセキュリティーポリシーが、カスタマイズ不可のページでカスタムドメインがあるorgのエンドユーザーページに適用されるようになりました。コンテンツセキュリティーポリシーのヘッダーにより、ブラウザーでWebページが実行できるアクションの種類を確実に認識できるようにすることで、クロスサイトスクリプトやデータインジェクションといった攻撃を検出できる追加のセキュリティーレイヤーを提供します。昨年から管理者ページにはポリシーがすでに適用され、エンドユーザーページに対してもレポートのみのモードに適用されています。今後もエンドユーザーページに対するコンテンツセキュリティーポリシーの適用を繰り返し行っていくことで、この最初のリリースよりも厳格にしていく予定です。

この機能は、すべてのorgで段階的に利用できるようになります。

システムログイベントの詳細

Oktaがセキュリティ脅威を特定すると、結果のシステムログエントリ「security.threat.detected」にイベントの詳細な理由が提供されるようになりました。「システムログ」を参照してください。

新しい柔軟なLDAP

新しいLDAPスキーマでは、メールをカスタムスキーマに移動し、名、姓、ユーザー名、UIDを任意にすることで柔軟性が向上します。これにより、LDAPスキーマに特定の属性が含まれていない場合のエラーシナリオを回避できます。

ThreatInsightのコアOkta APIエンドポイントでの対象範囲

Okta ThreatInsight対象範囲が、コアOkta APIエンドポイントに利用できるようになりました。

Okta ThreatInsightは、ヒューリスティックスと機械学習モデルに基づいて、Oktaの顧客ベース全体で悪意のあるアクティビティを一貫して示すIPアドレスのリストを更新して維持します。Okta orgにOkta ThreatInsightが有効化されている場合、これらの不正なIPアドレスからのリクエストはブロックされるか、さらに分析するために昇格されます。これまで、Okta ThreatInsightの対象範囲は、Okta認証エンドポイント(登録エンドポイントと復旧エンドポイントを含む)にのみ適用されていました。本リリースでは、認証エンドポイントに強化された攻撃パターンが検出され、非認証エンドポイントにも制限された攻撃パターンが検出されます。既存のOkta ThreatInsight構成に変更はありません。ログとブロックモード、ログモード、および除外ネットワーク ゾーンを使用しても、Okta ThreatInsightを有効化できます。高脅威のsecurity.threat.detectedイベントに対して、Negative IP Reputationの新しい理由が利用可能になりました。「Okta ThreatInsightのシステムログイベント」を参照してください。

SSOアプリのダッシュボードウィジェット

SSOアプリの新しいウィジェットには、選択した期間におけるorgの各アプリでのユーザーサインインイベント数が表示されます。これを使用すれば、最も頻繁に使用されるアプリを確認し、org全体の認証アクティビティを簡単に監視できます。

システムログのメール失敗イベント

管理者はシステムログでメール配信失敗イベントを表示できるようになりました。これにより、管理者がorg内のメールイベントアクティビティを適切に監視できるようになります。「システムログ」を参照してください。

セルフサービスロック解除プロセスの改善

以前のバージョンのセルフサービスロック解除(SSU)フローでは、エンドユーザーエクスペリエンスで不要な摩擦が発生していました。新しく強化されたSSU機能により、アカウントのロック解除メールにシームレスなマジックリンクエクスペリエンスが導入されます。ユーザーは、同じブラウザーを使用する場合は同意を提供する必要がなくなりました。さらに、アカウントのロック解除に成功した後、Eメールマジックリンクのクリックもアプリケーションの保証ポリシーに反映されるようになりました。保証要件が満たされた後、ユーザーはアプリケーションに直接サインインします。

セルフサービス登録エクスペリエンスの改善

セルフサービス登録(SSR)フローの以前のバージョンでは、複雑な一連のテンプレートを使用して、アクティベーションメールをエンドユーザーに送信していました。これは、簡素化されたSSRフローにより、カスタマイズされたウェルカムメッセージを含む2つのメールテンプレートのみに削減されます。アプリケーションでエンドユーザーのメールアドレスをすぐに確認する必要がある場合、Oktaでは[Registration - Activation(登録 - アクティベーション)]テンプレートを使用します。このテンプレートには、よりスムーズなサインインエクスペリエンスのためのマジックリンクが含まれています。アプリケーションへのサインインにメール確認がすぐに必要でない場合、Oktaは登録 - メール確認テンプレートを使用します。このテンプレートには、エンドユーザーがアプリケーションに正常にサインインした後に随時メール確認を完了するためのリンクが含まれています。

Office 365サインオンポリシーに追加のフィルターを選択する

管理者がアプリサインオンポリシーを作成するときに、Webブラウザーとモダン認証クライアントを区別できるように、フィルターが追加されました。

デバイス認可の付与タイプ

インターネット技術の進歩により、スマートデバイスやIoT(Internet of Things)が急増しています。消費者はこれらのデバイスで実行されるアプリケーションにサインインする必要がありますが、スマートTV、車のコンソール、サーモスタットなどのデバイスではWebブラウザーがサポートされていないか、入力機能が制限されています。その結果、ユーザーはエラーが発生しやすく時間のかかる、安全でない認証ソリューションを利用することになります。

デバイス認可付与機能はOAuth 2.0の付与タイプで、入力に制約のあるデバイスだけでなく、Webブラウザーのないデバイスにもサインインできます。この機能により、ユーザーはラップトップや携帯電話などのセカンダリデバイスを使用して、そのようなデバイスで実行されるアプリケーションへのサインインを完了することができます。