Okta Identity Engineリリースノート（プレビュー）

バージョン：2026.06.0

OIDC対応LDAPインターフェイスの構成可能な接続ライフタイム

LDAPインターフェイスで、OpenID Connect（OIDC）フローの使用時に最大接続ライフタイムの構成可能な設定が含まれるようになりました。これにより、管理者は最大90日間の接続有効期限を定義し、グローバルセッションポリシーから接続有効期限を切り離すことができます。

IDPルーティングルール内のIDPの最大数が増加

IdPルーティングルールで許可されるIdPの最大数が100に引き上げられました。IDプロバイダーのルーティングルールを構成するを参照してください。

Anthropic ClaudeからAIエージェントをインポート

Claude Managed Agentsで構築されたAIエージェントを、Anthropic Claudeから直接インポートして管理できるようになりました。AIエージェントのインポートを参照してください。

DatarobotからAIエージェントをインポート

Datarobot Agent Workforce Platformで構築されたAIエージェントを、Datarobotから直接インポートして管理できるようになりました。AIエージェントのインポートを参照してください。

エンティティリスク検出への不審なログインの詳細の追加

Suspicious Login From An IP Flagged By FastPass検出で、理由フィールドに不審なログインのexternal_session_idが入力されるようになりました。

ネットワークゾーンエラーメッセージの改善

複数のポリシーまたはルールが参照するネットワークゾーンを管理者が削除しようとしたときに表示されるエラーメッセージが、読みやすくなりました。

管理対象のChromeプロファイルの閲覧データを消去する

管理対象Chromeプロファイルのブラウズデータの消去は、ITP検出時に管理対象Chromeプロファイル内のローカルセッションデータ（クッキーとキャッシュ）を即座に消去することで、リアルタイムの修復を提供します。ブラウザーをポリシーによって強制されるワークスペースに変換することで、即時に自動保護されるようにします。「管理対象のChromeプロファイルの閲覧データを消去する」を参照してください。

Office 365のロール割り当て可能なプッシュグループ

Office 365アプリ統合の新しいプッシュグループを作成する際は、このロールは割り当て可能チェックボックスを選択して、Microsoft Entra IDでグループロールを割り当て可能にします。これにより、Entra IDでグループを手動で作成し、プッシュグループを使用してOktaにリンクする代わりに、OktaグループをMicrosoft Entra ID and assign rolesにプッシュできます。「プッシュグループを構成する」を参照してください。

リクエスト詳細のレイアウトの改善

リクエストの詳細ページのレイアウトが小さな画面向けに最適化され、読みやすくなりました。

SAMLアサーションを備えたSAP SuccessFactors OAuth 2.0

SAP SuccessFactorsアプリ統合が、APIセキュリティ強化のためにSAMLアサーションを備えたOAuth 2.0をサポートするようになりました。プロビジョニングと同期プロセスを中断せずに続行するには、SAP Basic認証の削除期限である2026年11月20日までに、この新しい認証方法に移行する必要があります。「SAP SuccessFactors用にSAMLを備えたOAuth 2.0を構成する」を参照してください。

特権アクセスデータベース統合向けの新しいSystem Logイベント

2つの新しいSystem Logイベントpam.integration.createおよびpam.integration.deleteが、Okta Privileged Accessのデータベース管理で利用できるようになりました。この機能拡張により、管理者はデータベース統合がいつ作成または削除されたかを追跡できます。「システムログ」を参照してください。

• ウクライナ語の翻訳では、Sign-In Widget （第3世代）のメール検証画面にある自分にメールを送信（Send me an email）ボタンが切り詰められていました。（OKTA-1016906）

• アプリ統合で、/auth/v3/signinエンドポイントを使用するサブドメインのユーザー資格情報が自動入力されず、ユーザーがアプリにサインインできませんでした。（OKTA-1074055）

• カスタムドメインを使用するorgでは、ユーザーが設定ページからサインアウトすると、非カスタムドメインにリダイレクトされていました。（OKTA-1139970）

• Sign-In Widget（第3世代）のパスワードを表示/非表示にするアイコンに、代替テキストがありませんでした。（OKTA-1156653）

• デバイスを非アクティブ化して削除しようとすると失敗し、「404 Not Found: Resource not found」エラーが返されました。（OKTA-1160266）

• Sign-In Widget（第3世代）のヘルプリンク画像に、代替テキストがありませんでした。（OKTA-1164533）

• Sign-In Widget（第3世代）の「OR」区切り記号をスクリーンリーダーで読み取れませんでした。（OKTA-1164534）

• 配列属性を含むOkta Expression Language式が、想定どおりに動作しないことがありました。（OKTA-1166566）

• IP除外ゾーンまたは信頼できるプロキシーからのサインイン試行が、「匿名プロキシ」という理由で、誤って高リスクと評価されていました。（OKTA-1168827）

• マルチブランド対応のorgをOkta Identity Engineにアップグレードした後、カスタムブランドのリダイレクト設定が移行されず、エンドユーザーが誤ってEnd-User Dashboardに誘導されていました。（OKTA-1174572）

• 管理者がActive Directoryアプリの設定を更新したときに、application.lifecycle.update System LogイベントがchangeDetailsフィールドを自動入力していませんでした。（OKTA-1178325）

• RADIUSアプリサインインポリシールールに、Linuxプラットフォームの条件がありませんでした。（OKTA-1184034）

• Iden（APIサービス）に新しいスコープが加わりました。

• Fleetclear（OIDC）が利用可能になりました。詳細をご確認ください。

• Dell PowerProtect Backup Services（APIサービス）が利用可能になりました。詳細をご確認ください。

• Kirin（SAML）が利用可能になりました。詳細をご確認ください。

ボット保護

ボット防御を利用して、orgはIdentity Threat Protection（ITP）ランディングページ内で修復アクションを構成することで、ボットトラフィックを自動的に特定・緩和できます。「ボット防御」を参照してください。

Active DirectoryのDirSyncによるグループインポート

Active Directory（AD）統合のプロビジョニング（Provisioning）タブに、DirSyncを使用したADによるインポートを有効にする（Enable imports with AD using DirSync）チェックボックスが追加されました。チェックボックスを有効にすると、管理者はDirSyncを使用してグループの増分インポートを実行できます。Active Directoryのインポートとアカウントの設定を構成するを参照してください。

Workdayによる増分インポートのサポート

Workdayに増分インポートを直ちに実行する機能が加わりました。増分インポートはフルインポートよりもはるかに速いです。ただし、ユーザーがカスタム属性のみを変更した場合は検出されないため、これらの変更を取得するには定期的にフルインポートを実行する必要があります。「増分インポート」を参照してください。

Okta FastPassの同一デバイス登録

Okta FastPassを使用しているorgでは、Okta Verifyの登録プロセスが合理化されました。

• ユーザーは現在使用しているデバイスで登録を開始して完了できます。以前は、アカウントをセットアップするには2つの異なるデバイスが必要でした。
• ユーザーは登録時にorgのURLを入力する必要がなくなりました。
• 登録フローの手順が少なくなりました。この機能は、Android、iOS、macOSデバイスでサポートされています。

Admin Consoleへの新規の単一要素アクセスを防止する

この機能は、Admin Consoleへの単一要素アクセスを管理者が構成できないようにします。この機能は現在、新しいorgにのみ利用できます。

アプリケーションエンタイトルメントポリシー

管理者は、アプリを個人またはグループに割り当てる際に属性マッピングを上書きできるようになりました。また、属性をデフォルトのマッピングに戻すこともできます。アプリケーション属性マッピングを上書きするを参照してください。この機能は、すべてのorgで段階的に利用できるようになります。

End-User Settingsへの直接アクセス

ユーザーは、End-User Dashboard以外にも、URLから直接［設定］ページにアクセスようになりました。この機能によって、ユーザーの利便性とセキュリティや、管理者がEnd-User Dashboardアクセス制御のシナリオを扱う際の柔軟性が高まります。アクセシビリティとUXも改善されました。「エンドユーザー設定」を参照してください。

ニックネーム要素のエンドユーザー設定

エンドユーザーは、電話、WebAuthn、Okta Verifyの要素にニックネームを付けられるようになりました。1つの要素のインスタンスを複数登録している場合は、ニックネームを付けると要素をすぐに識別しやすくなります（例：「自分の個人携帯電話」または「自分のオフィス用MacBook TouchID」）。「エンドユーザー向けドキュメント」を参考にしてください。これはセルフサービスの機能です。

システムログイベントの詳細

Oktaがセキュリティ脅威を特定すると、結果のsecurity.threat.detected System Logエントリにイベントの詳細な理由が提供されるようになりました。システムログを参照してください。

新しい柔軟なLDAP

新しいLDAPスキーマでは、メールをカスタムスキーマに移動し、名、姓、ユーザー名、UIDを任意にすることで柔軟性が向上します。これにより、LDAPスキーマに特定の属性が含まれていない場合のエラーシナリオを回避できます。

ThreatInsightのコアOkta APIエンドポイントでの対象範囲

Okta ThreatInsight対象範囲が、コアOkta APIエンドポイントに利用できるようになりました。

• OpenID Connect and OAuth 2.0
• Okta Management
• MyAccount API

Okta ThreatInsightは、ヒューリスティックスと機械学習モデルに基づいて、Oktaの顧客ベース全体で悪意のあるアクティビティを一貫して示すIPアドレスのリストを更新して維持します。Okta orgにOktaが有効化されている場合、これらの不正なIPアドレスからのリクエストはブロックされるか、さらに分析するために昇格されます。これまで、Oktaの対象範囲は、Okta認証エンドポイント（登録エンドポイントと復旧エンドポイントを含む）にのみ適用されていました。本リリースでは、認証エンドポイントに強化された攻撃パターンが検出され、非認証エンドポイントにも制限された攻撃パターンが検出されます。既存のOkta ThreatInsight構成に変更はありません。ログとブロックモード、ログモード、および除外ネットワーク ゾーンを使用しても、Okta ThreatInsightを有効化できます。高脅威のsecurity.threat.detectedイベントに対して、Negative IP Reputationの新しい理由が利用可能になりました。Okta ThreatInsightのシステムログベントを参照してください。

SSOアプリのダッシュボードウィジェット

SSOアプリの新しいウィジェットには、選択した期間におけるorgの各アプリでのユーザーサインインイベント数が表示されます。これを使用すれば、最も頻繁に使用されるアプリを確認し、org全体の認証アクティビティを簡単に監視できます。

セルフサービスロック解除プロセスの改善

以前のバージョンのセルフサービスロック解除（SSU）フローでは、エンドユーザーエクスペリエンスで不要な摩擦が発生していました。新しく強化されたSSU機能により、アカウントのロック解除メールにシームレスなマジックリンクエクスペリエンスが導入されます。ユーザーは、同じブラウザーを使用する場合は同意を提供する必要がなくなりました。さらに、アカウントのロック解除に成功した後、メールマジックリンクのクリックもアプリの保証ポリシーに反映されるようになりました。保証要件が満たされた後、ユーザーはアプリに直接サインインします。

セルフサービス登録エクスペリエンスの改善

セルフサービス登録（SSR）フローの以前のバージョンでは、複雑な一連のテンプレートを使用して、アクティベーションメールをエンドユーザーに送信していました。これは、簡素化されたSSRフローにより、カスタマイズされたウェルカムメッセージを含む2つのメールテンプレートのみに削減されます。アプリでエンドユーザーのメールアドレスをすぐに確認する必要がある場合、Oktaでは登録 - アクティベーションテンプレートを使用します。このテンプレートには、よりスムーズなサインインエクスペリエンスのためのマジックリンクが含まれています。アプリへのサインインにメール確認がすぐに必要でない場合、Oktaでは登録 - メール確認テンプレートを使用します。このテンプレートには、エンドユーザーがアプリに正常にサインインした後に随時メール確認を完了するためのリンクが含まれています。

デバイス認可の付与タイプ

インターネット技術の進歩により、スマートデバイスやIoT（Internet of Things）が急増しています。ユーザーはこれらのデバイスで実行されるアプリにサインインする必要がありますが、スマートTV、車のコンソール、サーモスタットなどのデバイスではWebブラウザーがサポートされていないか、入力機能が制限されています。そのため、ユーザーはエラーが発生しやすく時間のかかる、安全でない認証ソリューションを利用することになります。

デバイス認可付与機能はOAuth 2.0の付与タイプで、入力に制約のあるデバイスだけでなく、Webブラウザーのないデバイスにもサインインできます。この機能により、ユーザーはノートパソコンや携帯電話などのセカンダリデバイスを使用して、そのようなデバイスで実行されるアプリにサインインすることができます。