Okta Identity Engineリリースノート(プレビュー)
バージョン:2025.06.0
2025年6月
一般提供
ユーザー権限作成の条件
カスタム管理者ロールの[Create user(ユーザーの作成)]権限に条件を追加できるようになりました。これにより、ユーザー作成中に管理者が値を設定できるユーザー属性を詳細に制御できます。「権限条件」を参照してください。
表示されるグループメンバーシップの最大数の増加
カスタム管理者ロールの[Create user(ユーザーの作成)]権限に条件を追加できるようになりました。これにより、ユーザー作成中に管理者が値を設定できるユーザー属性を詳細に制御できます。「権限条件」を参照してください。
End-User Dashboardの新しい外観と操作性
End-User Dashboardでは、サイドとトップのナビゲーションメニューの再設計やグレー背景の追加など、新しい外観と操作性を提供するようになりました。
デバイス保証のOSバージョンアップデート
デバイス保証ポリシーで、次のOSバージョンがサポートされるようになりました。
- Android 13、14、15セキュリティパッチ2025-06-01
- iOS 15.8.4
- iOS 16.7.11
- iOS 18.5
- macOS Ventura 13.7.6
- macOS Sonoma 14.7.6
- macOS Sequoia 15.5
- Windows 10(10.0.17763.7314、10.0.19044.5854、10.0.19045.5854)
- Windows 11(10.0.22621.5335、10.0.22631.5335、10.0.26100.4061)
不明なプラットフォームをデスクトップにマッピングする
Oktaでは、認識されないプラットフォーム条件を[Other desktop(その他のデスクトップ)]にマッピングするようになりました。以前は、認識されないプラットフォーム条件は、認証ポリシーで[Any platform(任意のプラットフォーム)]条件が選択された場合にのみ正しく一致していました。
アプリ数から個人アプリの除外
管理者ダッシュボードで、アプリウィジェットの合計アプリ数から個人アプリが除外されるようになりました。これにより、orgのより正確なアプリ数が得られます。「SSOアプリを監視する」を参照してください。
アプリごとのSAML証明書有効期限の通知
タスクページに、個々のSAMLアプリに関する証明書有効期限の通知が表示されるようになりました。
カスタムドメインに関する新しいヘルプメッセージ
Oktaが管理するカスタムドメインを作成する管理者に、CAAレコードを追加するよう促すメッセージが表示されるようになりました。
Okta Provisioning AgentでSCIM 2.0によるグループプッシュがサポートされるようになりました
Okta Provisioning AgentとSCIM 2.0を使用して、オンプレミスアプリでグループプッシュを使用できるようになりました。「オンプレミスプロビジョニングのSCIMコネクターを作成する」を参照してください。
本人確認のための名前マッピング
管理者は、本人確認(IDV)ベンダーに検証クレームを送信する際に、希望する氏名と正式な氏名の両方の属性をマッピングできるようになりました。これにより、検証の精度が向上し、管理者はベンダーに送信される属性を制御できます。
デフォルトの除外IPゾーンによるASNバインディングの迂回
ASNバインディング機能は、管理者と管理者のサインイン元のIPアドレスを関連付けます。セッション中にIPが変更された場合、管理者はOktaからサインアウトされ、システムログにイベントが表示されます。IPとASNのバインディンをバイパスするには、クライアントIPをデフォルトの除外IPゾーンに追加できます。「IP除外ゾーン」を参照してください。
Okta RADIUSの改善点
Okta RADIUSでJavaバージョン17がサポートされるようになり、新しい64ビットのインストーラーが追加されました。
エンドユーザー向けの新しいパスワード変更機能
[マイ設定]の []セキュリティ方式 []ページで、エンドユーザーがパスワードを変更できるようになりました。
外部パートナー向けのSecure Partner Access
Secure Partner Accessは、外部のビジネスパートナーがorgのリソースに安全にアクセスできるようにします。パートナー管理タスクの効率化やITの作業負荷を軽減する他にも、orgのセキュリティ要件を構成するプロセスが簡素化されます。「Secure Partner Accessを管理する」を参照してください。
Office 365向けの証明書ベースの認証
Okta Identity EngineがWS-Fed SSOリクエストに対して、証明書ベースの認証をサポートするようになりました。ユーザーはスマートカードやPIV カードで認証し、WindowsデバイスやOffice 365アプリにシームレスにアクセスできます。
Admin Consoleへのアクセスを制限
管理者ロールが割り当てられたユーザーとグループは、デフォルトでAdmin Consoleアプリにアクセスできます。この機能を使用すると、スーパー管理者は代理管理者にアプリを手動で割り当てることを選択できます。これは、ビジネスパートナーなどアクセスの必要がない管理者やサードパーティの管理者、またはOkta APIのみを使用する管理者を有するorgに推奨されます。「管理者設定を構成する」を参照してください。
サブスクリプションを管理のボタンを削除
設定ページから、サブスクリプションを管理のボタンを削除しました。
管理者による公開済みアプリインスタンスの削除防止
アプリインスタンスのバージョンステータスが公開済みの場合、管理者はorgからそのインスタンスを削除できなくなりました。
共有シグナルトランスミッター
OktaではCAEPを使用して、セキュリティ関連のイベントやその他のデータ主体のシグナルをサードパーティセキュリティベンダーに送信します。Oktaからのシグナル送信を有効にするには、SSFトランスミッターAPIを使用してSSFストリームを作成します。次に、Oktaからセキュリティイベントトークン(SET)として送信されたシグナルを受け入れるようにサードパーティレシーバーを構成します。「共有シグナルトランスミッターを構成する」を参照してください。
早期アクセス
アプリコンテキストを外部IdPに送信する
ユーザーがアプリへのアクセスを試みる際に、アプリに関するコンテキストを外部のIDプロバイダー(IdP)に転送できるようになりました。IdPのアプリケーションコンテキストチェックボックスを有効にすると、外部IdPに送信されるSAMLまたはOpenID Connectリクエストにアプリ名と一意のインスタンスIDが含まれます。この機能強化により、外部IdPは情報に基づいた、コンテキストに応じた認証決定を行えるようになり、高度なセキュリティシナリオとゼロトラスト環境がサポートされます。この機能を有効にするには、Admin Consoleで設定 > 機能に移動し、アプリケーションコンテキストを外部IdPに送信するを見つけて有効にします。
登録の猶予期間
現在、管理者がグループの登録ポリシーを定義すると、グループ全体が直ちに登録する必要があり、日常的なタスクの妨げになる可能性があります。
登録の猶予期間を使用すると、エンドユーザーは、登録が必須となる、管理者が定義した期限まで、新しいAuthenticatorの登録を延期できます。これにより、エンドユーザーは都合のよいときに登録できるようになり、認証ポリシーでAuthenticatorの新しいタイプを適用する前に、よりスムーズに登録を行うことができます。「Authenticator登録ポリシー」を参照してください。
RingCentralで新しいデフォルト電話番号ロジックを使用する
RingCentralアプリ統合で電話番号を検出および入力するロジックが更新され、DirectNumberとIntegrationNumberの両方のエントリで動作するようになりました。
プレビュー内のEAがIdPのシングルログアウトとなる
IdPのシングルログアウト(SLO)機能によって、ユーザーがアプリからサインアウトした際にIdPセッションを自動的に終了することで、共有デバイスと外部IdPを使用する組織のセキュリティが強化されます。また、この機能では、すべての新規ユーザーに対して新しい認証が必要となり、共有デバイスでのセッションハイジャックリスクが排除されます。IdP向けSLOでは、SAML 2.0接続とOIDC IdP接続の両方がサポートされます。これにより、どのような環境でも共有ワークステーションに堅牢なセッション管理が提供されます。「SAML IDプロバイダーを追加する」を参照してください。
パスワードで使用される単語をブロックする
Okta Expression Languageを使用して、パスワードで使用される単語をブロックできるようになりました。この機能により、パスワードの強度要件をカスタマイズすることでセキュリティが強化されます。
修正
-
iOSを含むSDKの文字列が、不明なオペレーティングシステムとして解析されていました。(OKTA-856044)
-
自分の設定の個人情報ページ上で、一部のUI要素の背景色が正しくありませんでした。(OKTA-904266)
-
埋め込みのSign-In Widgetとメールの任意機能が有効になっているorgでは、セルフサービスのロック解除フロー中にユーザーはメールアドレスの入力を求められませんでした。(OKTA-917289)
-
/idp/myaccount/sessionsエンドポイントは、カスタム認可サーバーによって付与されたアクセストークンを受け入れませんでした。(OKTA-929488)
-
一部のユーザーは、IDプロバイダーでOVを使用して認証済みの場合でも、Okta Verify(OV)で認証するようにサービスプロバイダーから求められました。(OKTA-937311)
-
設定ページの技術担当者フィールドにテキストが入力されていても、「このフィールドは空白にできません」というエラーが表示されました。(OKTA-939469)
-
End-User Dashboardで、ユーザーがブラウザーのサイズをモバイルサイズのビューに変更すると、ナビゲーションメニューが繰り返し開いたり閉じたりしました。(OKTA-940213)
Okta Integration Network
- Pluto Bioinformaticsが利用可能になりました(SAML)。 詳細を確認してください。
- FORAが利用可能になりました(OIDC)。詳細を確認してください。
- Teamplifyが利用可能になりました(OIDC)。詳細を確認してください。
- XOPSが利用可能になりました(APIサービス統合)。詳細を確認してください。
プレビュー機能
Oktaアプリの変更
次のアプリの表示およびユーザーへの割り当てができなくなりました。
- Okta Access Certifications
- Okta Access Requests Admin
- Okta Entitlement Management
また、これらのアプリのサインオンポリシーは、Okta Admin Consoleで使用する既存のサインオンポリシーがデフォルトとして設定されます。
システムログでMFAの放棄を追跡する
user.authentication.auth_via_mfaイベントを使用して、システムログで放棄されたMFA試行を監視できるようになりました。イベント結果に2つのステータスが追加されました。
未回答:MFAプロンプトは放棄されたが、ユーザーは最終的に別のAuthenticatorを使用してサインインした。放棄:MFAプロンプトは放棄され、ユーザーはサインインできなかった。
「システムログでMFAの放棄を追跡する」を参照してください。
Workdayによる増分インポートのサポート
Workdayに増分インポートを直ちに実行する機能が加わりました。増分インポートはフルインポートよりもはるかに速いです。ただし、ユーザーがカスタム属性のみを変更した場合は検出されないため、これらの変更を取得するには定期的にフルインポートを実行する必要があります。「増分インポート」を参照してください。
Okta FastPassの同一デバイス登録
Okta FastPassを使用しているorgで、Okta Verifyの登録プロセスが合理化されました。 - ユーザーは現在使用しているデバイスで登録を開始および完了できます。以前は、アカウントをセットアップするには2つの異なるデバイスが必要でした。 - ユーザーは登録時にorgのURLを入力する必要がなくなりました。 - 登録フローの手順が少なくなりました。 この機能は、Android、iOS、macOSデバイスでサポートされています。
Admin Consoleへの新規の単一要素アクセスを防止する
この機能は、Admin Consoleへの単一要素アクセスを管理者が構成できないようにします。この機能は現在、新しいorgにのみ利用できます。
アプリケーションエンタイトルメントポリシー
管理者は、アプリを個人またはグループに割り当てる際に属性マッピングを上書きできるようになりました。また、属性をデフォルトのマッピングに戻すこともできます。「アプリケーション属性マッピングを上書きする」を参照してください。この機能は、すべてのorgで段階的に利用できるようになります。
ニックネーム要素のエンドユーザー設定
エンドユーザーは、電話、WebAuthn、Okta Verifyの要素にニックネームを付けられるようになりました。1つの要素のインスタンスを複数登録している場合は、ニックネームを付けると要素をすぐに識別しやすくなります(例:「自分の個人携帯電話」または「自分のオフィス用MacBook TouchID」)。「エンドユーザー向けドキュメント」を参照してください。これはセルフサービスの機能です。
エンドユーザーページでコンテンツセキュリティーポリシーを適用する
コンテンツセキュリティーポリシーが、カスタマイズ不可のページでカスタムドメインがあるorgのエンドユーザーページに適用されるようになりました。コンテンツセキュリティーポリシーのヘッダーにより、ブラウザーでWebページが実行できるアクションの種類を確実に認識できるようにすることで、クロスサイトスクリプトやデータインジェクションといった攻撃を検出できる追加のセキュリティーレイヤーを提供します。昨年から管理者ページにはポリシーがすでに適用され、エンドユーザーページに対してもレポートのみのモードに適用されています。今後もエンドユーザーページに対するコンテンツセキュリティーポリシーの適用を繰り返し行っていくことで、この最初のリリースよりも厳格にしていく予定です。
この機能は、すべてのorgで段階的に利用できるようになります。
システムログイベントの詳細
Oktaがセキュリティ脅威を特定すると、結果のシステムログエントリ「security.threat.detected」にイベントの詳細な理由が提供されるようになりました。「システムログ」を参照してください。
新しい柔軟なLDAP
新しいLDAPスキーマでは、メールをカスタムスキーマに移動し、名、姓、ユーザー名、UIDを任意にすることで柔軟性が向上します。これにより、LDAPスキーマに特定の属性が含まれていない場合のエラーシナリオを回避できます。
ThreatInsightのコアOkta APIエンドポイントでの対象範囲
Okta ThreatInsight対象範囲が、コアOkta APIエンドポイントに利用できるようになりました。
Okta ThreatInsightは、ヒューリスティックスと機械学習モデルに基づいて、Oktaの顧客ベース全体で悪意のあるアクティビティを一貫して示すIPアドレスのリストを更新して維持します。Okta orgにOkta ThreatInsightが有効化されている場合、これらの不正なIPアドレスからのリクエストはブロックされるか、さらに分析するために昇格されます。これまで、Okta ThreatInsightの対象範囲は、Okta認証エンドポイント(登録エンドポイントと復旧エンドポイントを含む)にのみ適用されていました。本リリースでは、認証エンドポイントに強化された攻撃パターンが検出され、非認証エンドポイントにも制限された攻撃パターンが検出されます。既存のOkta ThreatInsight構成に変更はありません。ログとブロックモード、ログモード、および除外ネットワーク ゾーンを使用しても、Okta ThreatInsightを有効化できます。高脅威のsecurity.threat.detectedイベントに対して、Negative IP Reputationの新しい理由が利用可能になりました。「Okta ThreatInsightのシステムログイベント」を参照してください。
SSOアプリのダッシュボードウィジェット
SSOアプリの新しいウィジェットには、選択した期間におけるorgの各アプリでのユーザーサインインイベント数が表示されます。これを使用すれば、最も頻繁に使用されるアプリを確認し、org全体の認証アクティビティを簡単に監視できます。
システムログのメール失敗イベント
管理者はシステムログでメール配信失敗イベントを表示できるようになりました。これにより、管理者がorg内のメールイベントアクティビティを適切に監視できるようになります。「システムログ」を参照してください。
セルフサービスロック解除プロセスの改善
以前のバージョンのセルフサービスロック解除(SSU)フローでは、エンドユーザーエクスペリエンスで不要な摩擦が発生していました。新しく強化されたSSU機能により、アカウントのロック解除メールにシームレスなマジックリンクエクスペリエンスが導入されます。ユーザーは、同じブラウザーを使用する場合は同意を提供する必要がなくなりました。さらに、アカウントのロック解除に成功した後、Eメールマジックリンクのクリックもアプリケーションの保証ポリシーに反映されるようになりました。保証要件が満たされた後、ユーザーはアプリケーションに直接サインインします。
セルフサービス登録エクスペリエンスの改善
セルフサービス登録(SSR)フローの以前のバージョンでは、複雑な一連のテンプレートを使用して、アクティベーションメールをエンドユーザーに送信していました。これは、簡素化されたSSRフローにより、カスタマイズされたウェルカムメッセージを含む2つのメールテンプレートのみに削減されます。アプリケーションでエンドユーザーのメールアドレスをすぐに確認する必要がある場合、Oktaでは[Registration - Activation(登録 - アクティベーション)]テンプレートを使用します。このテンプレートには、よりスムーズなサインインエクスペリエンスのためのマジックリンクが含まれています。アプリケーションへのサインインにメール確認がすぐに必要でない場合、Oktaは登録 - メール確認テンプレートを使用します。このテンプレートには、エンドユーザーがアプリケーションに正常にサインインした後に随時メール確認を完了するためのリンクが含まれています。
Office 365サインオンポリシーに追加のフィルターを選択する
管理者がアプリサインオンポリシーを作成するときに、Webブラウザーとモダン認証クライアントを区別できるように、フィルターが追加されました。
デバイス認可の付与タイプ
インターネット技術の進歩により、スマートデバイスやIoT(Internet of Things)が急増しています。消費者はこれらのデバイスで実行されるアプリケーションにサインインする必要がありますが、スマートTV、車のコンソール、サーモスタットなどのデバイスではWebブラウザーがサポートされていないか、入力機能が制限されています。その結果、ユーザーはエラーが発生しやすく時間のかかる、安全でない認証ソリューションを利用することになります。
デバイス認可付与機能はOAuth 2.0の付与タイプで、入力に制約のあるデバイスだけでなく、Webブラウザーのないデバイスにもサインインできます。この機能により、ユーザーはラップトップや携帯電話などのセカンダリデバイスを使用して、そのようなデバイスで実行されるアプリケーションへのサインインを完了することができます。