Okta Identity Engineリリースノート（プレビュー）

リアルタイム更新によるインポートモニタリングの強化

インポートモニタリングダッシュボードから、インポートについてリアルタイムの進行状況を確認できるようになりました。これにより、現在処理中のデータチャンクの数など、進行中のインポートについて現在のステータスに対する可視性が高まります。

Windows Autopilot統合の簡素化

Oktaを使用して、エンドユーザーデバイスでのWindows Autopilotフローの安全を確保し、合理化することができます。Oktaにサインオンポリシールールを追加して、Windows AutoPilotでデバイスを登録するときにMFAを要求することができます。これにより、ユーザーエクスペリエンスを損なうことなくセキュリティが向上し、適切なユーザーが新しいデバイスごとにプロビジョニングを行えるようになります。「Windows AutoPilotでOktaを使用するための一般的なワークフロー」を参照してください。

ITPランディングページ

以前は、ITP情報とコントロールはAdmin Consoleのさまざまなページにネストされていました。現在は、すべてのITPインサイトとコントロールが、Admin Consoleの［セキュリティ］タブ下の1つの統合ページにまとめられました。この統合されたビューにより、データの調査とレスポンスの構成が1か所で行えるため、時間を節約し、アクションを迅速化できます。「Identity Threat Protection with Okta AI」を参照してください。

複数のデバイスでのFastPassのインライン登録

ユーザーは、別の方法を使用して異なるデバイスプラットフォーム上のOkta Verifyに登録済みの場合、Okta Verifyをインライン登録できます。

プレビュー内のGAであるOIDCトークンエンドポイントのネットワーク制限

OIDCトークンのエンドポイントにネットワーク制限を適用して、トークンのセキュリティを強化できるようになりました。「OpenID Connectアプリ統合を作成する」を参照してください。

新しいASNの振る舞い検知

管理者は、IP、速度、ロケーション、またはデバイスの振る舞い検知を作成することができます。この新機能により、イベントに関連付けられたリクエストで見つかったIPに基づいて、新しいASN（Autonomous system番号）の振る舞い検知が導入されました。「ASN動作を追加する」を参照してください。

一時アクセスコードAuthenticator

一時アクセスコード（TAC）Authenticatorを使用すると、管理者は、オンボーディング、アカウント復旧、およびその他の一時アクセスシナリオでユーザーを認証するための一時的なコードを生成できます。このAuthenticatorは、通常のAuthenticatorを使用せずにorgへのユーザーアクセスを付与することで、このようなシナリオでのセキュリティを強化します。「一時アクセスコードauthenticatorを構成する」を参照してください。

表示されるグループメンバーシップの最大数の増加

非常に大きなグループのグループページに表示されるメンバーシップ数の最大値が100万件以上になりました。この数値をクリックすると、正確な数が表示されます。数値は2時間キャッシュされます。「グループメンバーの表示」を参照してください。

Okta Verifyとカスタムプッシュ方式の自動選択

Oktaは、Okta Verify（OV）とカスタムプッシュ方式が、保証要件を満たす唯一のオプションである場合、自動選択するようになりました。以前は、一部のシナリオにて、ユーザーはこれらの方法を手動で選択する必要がありました。この更新により、余分な手順が排除されます。

登録の猶予期間

現在、管理者がグループの登録ポリシーを定義すると、グループ全体が直ちに登録する必要があり、日常的なタスクの妨げになる可能性があります。

登録の猶予期間を使用すると、エンドユーザーは、登録が必須となる、管理者が定義した期限まで、新しいAuthenticatorの登録を延期できます。これにより、エンドユーザーは都合のよいときに登録できるようになり、認証ポリシーでAuthenticatorの新しいタイプを適用する前に、よりスムーズに登録を行うことができます。「Authenticator登録ポリシー」を参照してください。

Workdayによる増分インポートのサポート

Workdayに増分インポートを直ちに実行する機能が加わりました。増分インポートはフルインポートよりもはるかに速いです。ただし、ユーザーがカスタム属性のみを変更した場合は検出されないため、これらの変更を取得するには定期的にフルインポートを実行する必要があります。「増分インポート」を参照してください。

Okta FastPassの同一デバイス登録

Okta FastPassを使用しているorgでは、Okta Verifyの登録プロセスが合理化されています。 - ユーザーは、現在使用中のデバイス上で登録の開始から完了までを行うことができます。以前は、アカウントをセットアップするには2つの異なるデバイスが必要でした。- ユーザーは登録時にorgのURLを入力する必要がなくなりました。- 登録フローの手順が少なくなりました。この機能は、Android、iOS、macOSデバイスでサポートされています。

Admin Consoleへの新規の単一要素アクセスを防止する

この機能は、Admin Consoleへの単一要素アクセスを管理者が構成できないようにします。この機能は現在、新しいorgにのみ利用できます。

アプリケーションエンタイトルメントポリシー

管理者は、アプリを個人またはグループに割り当てる際に属性マッピングを上書きできるようになりました。また、属性をデフォルトのマッピングに戻すこともできます。「アプリケーション属性マッピングを上書きする」を参照してください。この機能は、すべてのorgで段階的に利用できるようになります。

ニックネーム要素のエンドユーザー設定

エンドユーザーは、電話、WebAuthn、Okta Verifyの要素にニックネームを付けられるようになりました。1つの要素のインスタンスを複数登録している場合は、ニックネームを付けると要素をすぐに識別しやすくなります（例：「自分の個人携帯電話」または「自分のオフィス用MacBook TouchID」）。「エンドユーザー向けドキュメント」を参考にしてください。これはセルフサービスの機能です。

エンドユーザーページでコンテンツセキュリティーポリシーを適用する

コンテンツセキュリティーポリシーが、カスタマイズ不可のページでカスタムドメインがあるorgのエンドユーザーページに適用されるようになりました。コンテンツセキュリティーポリシーのヘッダーにより、ブラウザーでWebページが実行できるアクションの種類を確実に認識できるようにすることで、クロスサイトスクリプトやデータインジェクションといった攻撃を検出できる追加のセキュリティーレイヤーを提供します。昨年から管理者ページにはポリシーがすでに適用され、エンドユーザーページに対してもレポートのみのモードに適用されています。今後もエンドユーザーページに対するコンテンツセキュリティーポリシーの適用を繰り返し行っていくことで、この最初のリリースよりも厳格にしていく予定です。

この機能は、すべてのorgで段階的に利用できるようになります。

システムログイベントの詳細

Oktaがセキュリティ脅威を特定すると、結果のシステムログエントリ「security.threat.detected」にイベントの詳細な理由が提供されるようになりました。「システムログ」を参照してください。

新しい柔軟なLDAP

新しいLDAPスキーマでは、メールをカスタムスキーマに移動し、名、姓、ユーザー名、UIDを任意にすることで柔軟性が向上します。これにより、LDAPスキーマに特定の属性が含まれていない場合のエラーシナリオを回避できます。

ThreatInsightのコアOkta APIエンドポイントでの対象範囲

Okta ThreatInsight対象範囲が、コアOkta APIエンドポイントに利用できるようになりました。

• OpenID Connect and OAuth 2.0
• Okta Management
• MyAccount API

Okta ThreatInsightは、ヒューリスティックスと機械学習モデルに基づいて、Oktaの顧客ベース全体で悪意のあるアクティビティを一貫して示すIPアドレスのリストを更新して維持します。Okta orgにOkta ThreatInsightが有効化されている場合、これらの不正なIPアドレスからのリクエストはブロックされるか、さらに分析するために昇格されます。これまで、Okta ThreatInsightの対象範囲は、Okta認証エンドポイント（登録エンドポイントと復旧エンドポイントを含む）にのみ適用されていました。本リリースでは、認証エンドポイントに強化された攻撃パターンが検出され、非認証エンドポイントにも制限された攻撃パターンが検出されます。既存のOkta ThreatInsight構成に変更はありません。ログとブロックモード、ログモード、および除外ネットワーク ゾーンを使用しても、Okta ThreatInsightを有効化できます。高脅威のsecurity.threat.detectedイベントに対して、Negative IP Reputationの新しい理由が利用可能になりました。「Okta ThreatInsightのシステムログイベント」を参照してください。

SSOアプリのダッシュボードウィジェット

SSOアプリの新しいウィジェットには、選択した期間におけるorgの各アプリでのユーザーサインインイベント数が表示されます。これを使用すれば、最も頻繁に使用されるアプリを確認し、org全体の認証アクティビティを簡単に監視できます。

システムログのメール失敗イベント

管理者はシステムログでメール配信失敗イベントを表示できるようになりました。これにより、管理者がorg内のメールイベントアクティビティを適切に監視できるようになります。「システムログ」を参照してください。

セルフサービスロック解除プロセスの改善

以前のバージョンのセルフサービスロック解除（SSU）フローでは、エンドユーザーエクスペリエンスで不要な摩擦が発生していました。新しく強化されたSSU機能により、アカウントのロック解除メールにシームレスなマジックリンクエクスペリエンスが導入されます。ユーザーは、同じブラウザーを使用する場合は同意を提供する必要がなくなりました。さらに、アカウントのロック解除に成功した後、メールマジックリンクのクリックもアプリの保証ポリシーに反映されるようになりました。保証要件が満たされた後、ユーザーはアプリに直接サインインします。

セルフサービス登録エクスペリエンスの改善

セルフサービス登録（SSR）フローの以前のバージョンでは、複雑な一連のテンプレートを使用して、アクティベーションメールをエンドユーザーに送信していました。これは、簡素化されたSSRフローにより、カスタマイズされたウェルカムメッセージを含む2つのメールテンプレートのみに削減されます。アプリでエンドユーザーのメールアドレスをすぐに確認する必要がある場合、Oktaでは登録 - アクティベーションテンプレートを使用します。このテンプレートには、よりスムーズなサインインエクスペリエンスのためのマジックリンクが含まれています。アプリへのサインインにメール確認がすぐに必要でない場合、Oktaでは登録 - メール確認テンプレートを使用します。このテンプレートには、エンドユーザーがアプリに正常にサインインした後に随時メール確認を完了するためのリンクが含まれています。

Office 365サインオンポリシーに追加のフィルターを選択する

管理者がアプリサインオンポリシーを作成するときに、Webブラウザーとモダン認証クライアントを区別できるように、フィルターが追加されました。

デバイス認可の付与タイプ

インターネット技術の進歩により、スマートデバイスやIoT（Internet of Things）が急増しています。ユーザーはこれらのデバイスで実行されるアプリにサインインする必要がありますが、スマートTV、車のコンソール、サーモスタットなどのデバイスではWebブラウザーがサポートされていないか、入力機能が制限されています。そのため、ユーザーはエラーが発生しやすく時間のかかる、安全でない認証ソリューションを利用することになります。

デバイス認可付与機能はOAuth 2.0の付与タイプで、入力に制約のあるデバイスだけでなく、Webブラウザーのないデバイスにもサインインできます。この機能により、ユーザーはノートパソコンや携帯電話などのセカンダリデバイスを使用して、そのようなデバイスで実行されるアプリにサインインすることができます。