Okta Identity Engineリリースノート(本番)

バージョン:2025.04.0

2025年4月

一般利用可能

Secure Identity Integrations

Secure Identity Integrations(SII)は、SSO、SCIM、エンタイトルメント管理、Universal Logout、WorkflowsIdentity Security Posture Management(ISPM)を含めて、最もよく使用される50個以上のエンタープライズSaaSアプリケーションにさらなる深みを提供します。

Sign-In Widget、バージョン7.30.0

このリリースの詳細については、「Sign-In Widgetのリリースノート」を参照してください。ウィジェットの詳細については、「Okta Sign-In Widget」を参照してください。

Okta Provisioning AgentとSDKの新しいバージョン

Okta Provisioning Agent 2.2.1とOkta Provisioning Agent SDK 2.1.1が利用可能になりました。これらのリリースには、バグ修正と軽微な改善が含まれます。

OINテストアカウント情報は30日後に削除

Oktaでは、OINウィザードでアプリを公開してから30日後にテストアカウントの資格情報を削除します。アプリを送信する前に、新しいテストアカウントを作成し、必要な情報を再入力する必要があります。

リスクプロバイダーAPIおよびリスクイベントAPIの廃止

これらのAPIは廃止されました。セキュリティ関連のイベントや他のデータ主体のシグナルを受信するには、代わりにSSFセキュリティイベントトークンAPIを使用してください。サードパーティのセキュリティイベントプロバイダーにはSSFレシーバーAPIを使用します。

MyAccount Managementのスコープ

MyAccount Managementのスコープは非システムのスコープに更新され、管理者が構成できるようになりました。「APIアクセススコープを作成する」を参照してください。

フィッシング耐性がデフォルトで有効化

新しく作成された認証ポリシーとOktaアカウント管理ポリシーのルールでは、所有要素の制約としてフィッシング耐性オプションがデフォルトで選択されるようになりました。これは、フィッシング耐性の認証が有効化されている組織にのみ適用されます。「認証ポリシールールを追加する 」および 「Authenticator登録のルールを追加する」を参照してください。

ポリシー更新のためのステップアップ認証

Oktaでは、管理者がAdmin Consoleでサインオンポリシーの更新などの保護対象アクションを実行すると、ステップアップ認証を要求します。変更は、管理者が正常に認証された後にのみ許可されます。この機能により、管理者は保護対象アクションを実行する前にMFAを要求できるようになり、orgのセキュリティが強化されます。「Admin Consoleの保護対象アクション」を参照してください。

Okta検証済みテキストをOINから削除する

OINカタログでは、アプリ統合ページからOkta検証済みの免責事項が削除されました。

Oktaアカウント管理ポリシー

Oktaアカウント管理ポリシーを使用すると、アカウントのロック解除、パスワードの回復、Authenticatorの登録、プロファイル設定の変更など、管理者はアクションにフィッシング耐性を手軽に組み込むことができます。管理者は認証ポリシーで使い慣れたルールベースのフレームワークを使用して、ユーザーがこれらの一般的なセルフサービスアクションを試行するときに必要なフィッシング耐性のAuthenticatorをカスタマイズできるようになりました。認証ポリシーのすべての構成をAuthenticatorの管理に適用できます。「Oktaアカウント管理ポリシー」を参照してください。

Okta Device AccessのDesktop MFAの復旧

macOS向けのDesktop MFAでDesktop MFAの復旧が利用できるようになりました。これにより、管理者は、MFA認証デバイスを紛失したDesktop MFAユーザーのブロックを解除するために、時間制限のあるデバイス復旧PINを生成することができます。「Desktop MFAの復旧」を参照してください。

早期アクセス

Okta Privileged AccessでActive Directoryアカウントを管理する

この機能により、Okta AD Agentを使用してOkta Privileged Accessを通じてActive Directory(AD)アカウントパスワードを管理できます。管理者は、特定の組織単位(OU)内のアカウントに検出ルールを設定し、ユーザーアクセスのポリシーを作成して、チェックイン時またはスケジュールに従ってパスワードがローテーションされるようにできます。アクセス権を持つユーザーは、割り当てられたアカウントを表示し、パスワードを取得できます。この機能を有効にする場合は、Oktaサポートにお問い合わせください。「Active Directoryアカウントを管理する」を参照してください。

自動ローテーションによるOrg2OrgのOAuth 2.0プロビジョニング

複数orgアーキテクチャ(Oktaハブアンドスポークorgなど)をデプロイする管理者は、ユーザーとグループのプロビジョニングを保護する必要があります。OAuth 2.0スコープのトークンを使用したプロビジョニングには、より詳細なアクセス権限の設定、トークンの短い有効期間、キーの自動ローテーションなど、APIトークンに比べていくつかの利点があります。Admin Consoleから直接、Org2OrgアプリのプロビジョニングにOAuth 2.0の自動ローテーションを有効化できるようになりました。

Okta Org2OrgをOktaと統合する」を参照してください。

SAP Netweaver ABAP用On-prem Connectorでサポートされる属性の追加

Okta On-prem Connectorでは、サポートされるユーザー属性が追加されて、OktaとSAP Netweaver ABAPとの統合が向上しました。

修正

  • Sign-In Widget(第3世代)でフォントサイズが正しく表示されませんでした。(OKTA-552923)

  • カスタムアプリのロゴがアプリのページに表示されませんでした。(OKTA-655724)

  • この更新では一般的なセキュリティ修正が適用されました。(OKTA-690936)

  • インポートの報告された結果が、インポートの完了時に表示された内容、インポートの概要メール、インポートモニタリングページに表示される値によって異なっていました。(OKTA-739010)

  • Active Directoryからプロファイルをインポートした一部のユーザーは、セルフサービスによるロック解除のメールを受信できず、アカウントを復旧できませんでした。(OKTA-843086)

  • 一部の管理者は、多数の認証ポリシールールがあるorgからAuthenticatorを削除できませんでした。(OKTA-847583)

  • MFA使用状況レポートのMFA要素列に、FIDO2(WebAuthn)Authenticatorの名前Windows Hello(Web認証)が表示されていました。

    (OKTA-848611)
  • Classic Engineで登録インラインフックがあるorgは、Identity Engineにアップグレードした後、登録インラインフックを非アクティブ化できませんでした。(OKTA-855960)

  • [Settings(設定)][API]メニューが、表示する権限のない一部の管理者に表示されていました。(OKTA-856337)

  • [Authentication policies(認証ポリシー)]ページのページネーション制御と[Show more(表示を増やす)]が正しく機能しませんでした。(OKTA-858605)

  • 一部のネットワーク関連のuser.session.context.changeイベントでリスクレベルがLOWでした。(OKTA-863401)

  • エンドユーザーの[Settings(設定)]ページの[Recent activity(最近のアクティビティ)]タブで、テーブルが正しく表示されませんでした。(OKTA-874276)

  • ウィンドウのサイズが変更されると、エンドユーザーの[Settings(設定)]ページでテキストが正しく表示されませんでした。(OKTA-874292)

  • スクリーンリーダーは、エンドユーザーの[Settings(設定)]ページで[Select language(言語の選択)]ドロップダウンメニューにある言語名を読み取れませんでした。(OKTA-874318)

  • 管理者は、FIDO2(WebAuthn)AuthenticatorをAuthenticatorグループに追加できませんでした。(OKTA-875920)

  • 複数のユーザータイプを使用する管理者に、アプリインスタンスを更新しようとすると内部エラーが発生することがありました。(OKTA-880825)

  • インポートモニタリングページが、必要な権限を持たない管理者に表示可能でした。ページにアクセスすると403エラーが発生しました。(OKTA-880835)

  • Google Workspaceへのグループプッシュを実行すると、nullポインター例外のエラーが発生することがありました。(OKTA-886861)

  • user.risk.detectイベントが、[エンティティリスクポリシー]ページで誤って表示されていました。(OKTA-887297)

  • ユーザーがエンドユーザーの[Settings(設定)]ページにサインインし、ID検証ベンダーで認証しようとすると、[Back to Settings(設定に戻る)]ボタンが表示されませんでした。ユーザーが本人確認を満たしていない場合は、このボタンはエラーページでも表示されませんでした。(OKTA-894271)

  • グループ名に特殊文字が含まれていると、LDAPエージェントがクエリの解析に失敗しました。(OKTA-902231)

Okta Integration Network

バージョン:2025.03.0

2025年3月

一般利用可能

Sign-In Widget、バージョン7.28.3、7.29.0

このリリースの詳細については、「Sign-In Widgetのリリースノート」を参照してください。

ウィジェットの詳細については、「Okta Sign-In Widgetガイド」を参照してください。

Okta MFA Credential Provider for Windows、バージョン1.4.3

このバージョンには、バグ修正とセキュリティ強化が含まれています。「Okta MFA Credential Provider for Windowsのバージョン履歴」を参照してください。

Okta LDAPエージェント、バージョン5.23.0

このバージョンのエージェントには、セキュリティ強化が含まれます。

非アクティブなユーザーを検出し管理者アクセスを確認する

事前構成されたキャンペーンを使用して、アプリに割り当てられている非アクティブなユーザーを検出し、その管理者アクセスを確認できるようになりました。事前構成されたキャンペーンとは、Oktaがデフォルト設定を予め設定した、すぐに使用できるキャンペーンのセットです。「管理者ロールのアクセス認定」を参照してください。

アクセス認定レポート可用性の更新

Okta Identity Governanceをサブスクライブしていない場合でも、管理者ロールを管理するキャンペーンで過去のキャンペーンの詳細レポートと過去のキャンペーンの概要レポートが利用できるようになりました。

日本語翻訳の更新

[Admin Dashboard(管理者ダッシュボード)]ページ、[Administrator(管理者)]ページ、およびAdmin Consoleの検索で、更新された日本語翻訳が提供されるようになりました。

グループ検索機能の改善

名前または説明に指定したテキストが含まれるグループを検索できるようになりました。これにより、正確な名前を思い出せない場合でも、グループを見つけやすくなります。

ユーザー検索機能の改善

名前、メールアドレス、またはユーザー名に指定したテキストが含まれるユーザーを検索できるようになりました。これにより、ユーザー検索やグループへのユーザー追加が容易になります。

OINカタログのIdentity Security Posture Management

[Okta Integration Network]ページで、[Identity Security Posture Management]機能が提供されるようになりました。これを選択すると、OINカタログに、Identity Security Posture Management機能を備えたアプリのみが表示されます。

新しい認証ポリシールールのデフォルトの新しい再認証頻度

認証ポリシールールページの[Prompt for password authentication(パスワード認証のプロンプト)]および[Prompt for all other factors of authentication(認証のその他すべての要素のプロンプト)」のオプションで、デフォルトの再認証頻度が1時間に変更されました。この変更は、[Time since last sign in(前回のサインインからの経過時間)]が選択された新しいルールにデフォルトで適用されます。「認証ポリシールールを追加する」を参照してください。

Workforceの領域

領域を使用すると、単一のOkta org内にある個別のユーザー層について管理と管理の委任をより柔軟に行うことができます。「領域を管理する」を参照してください。

AMFA orgのITP検出

すべてのAdaptive MFA orgでは、直接割り当てられたスーパー管理者でセッションおよびエンティティユーザーが検出されると、ITP検出のメリットを得られるようになりました。これらの検出イベントは、Workflowsを使用して実行可能です。この機能は、Okta Secure Identity Commitmentに準拠しています。「リスクスコアリング」を参照してください。

特定のIDプロバイダー用の詳細なアカウントリンクがGAになりました

管理者がSAMLおよびOIDCのIDプロバイダーからユーザーをリンクするときに、特定のユーザーと管理者を除外できるようになりました。これにより、管理者はきめ細かいアクセス制御シナリオを構成できることで、セキュリティが向上します。「SAML IDプロバイダーを追加する」を参照してください。

OIDC IDプロバイダーによるグループ同期のサポート

OpenID Connect IDプロバイダー(IdP)では、完全なグループ同期と、まだ所属していないグループへのユーザーの追加をサポートするようになりました。[Full sync of groups(グループの完全同期)]が有効化されている場合、外部IdPで認証するユーザーは利用可能なすべてのグループに追加されます。[Add user to missing groups(見つからないグループにユーザーを追加)]が有効化されている場合、ユーザーはまだ所属していないグループに追加されます。これにより、ユーザーを追加する必要がある特定のグループを指定できます。「汎用OpenID Connect」を参照してください。

SAMLおよびOIDCのウィザードアプリに対するグローバルトークン取り消し

Universal Logoutは、SAMLおよびOIDCのウィザードアプリのセッションとトークンを取り消します。この機能強化により、Universal Logout機能がより多くのアプリタイプに拡張され、管理者にとって柔軟性が高まります。

Microsoft Office 365のエンタイトルメント管理

Microsoft Office 365アプリでは、エンタイトルメント管理をサポートするようになりました。「エンタイトルメント対応アプリ」を参照してください。

早期アクセス

デバイス保証のためのカスタム修復

Okta VerifyまたはChrome Device Trustによるデバイスポスチャチェックの失敗により認証が失敗した場合、ユーザーにカスタム修復手順を表示できるようになりました。「デバイス保証のためのカスタム修復手順を構成する」を参照してください。

切断されたアプリのエンタイトルメント対応

切断されたアプリとは、Okta内でLCM統合されていないアプリです。この機能を使用すると、CSVファイルを使用して、切断されたアプリからユーザーとエンタイトルメントをOktaにインポートできます。これにより、Oktaと完全に統合されていないアプリも含め、すべてのアプリで一貫したガバナンスとコンプライアンスが実現します。 「CSVからユーザーエンタイトルメントをインポートする」を参照してください。

Admin Consoleの新しい外観と操作性

Admin Consoleでは、サイドとトップのナビゲーションメニューの再設計やグレー背景の追加など、新しい外観と操作性を提供するようになりました。

新しい本人確認プロバイダーの追加

Oktaでは、IDプロバイダーとしてIncodeとCLEAR Verifiedの使用をサポートするようになりました。これにより、ユーザーがオンボードやアカウントのリセットを行うときに、ユーザーのアイデンティティ検証に使用できる本人確認ベンダー(IDV)の数が増えます。「本人確認ベンダーをIDプロバイダーとして追加する」を参照してください。

デフォルトの除外IPゾーンによるASNバインディングのバイパス

ASNバインディング機能は、管理者と管理者のサインイン元のIPアドレスを関連付けます。セッション中にIPが変更された場合、管理者はOktaからサインアウトされ、システムログにイベントが表示されます。IPとASNのバインディンをバイパスするには、クライアントIPをデフォルトの除外IPゾーンに追加できます。「IP除外ゾーン」を参照してください。

Oktaファーストパーティアプリのアプリスイッチャー

End-User Dashboard、Admin Console、Workflowsコンソールにアプリスイッチャーが追加され、管理者は割り当てられたOktaアプリ間をすばやく移動できるようになりました。アプリスイッチャーを表示するには、[Unified look and feel for Okta Admin Console(Okta Admin Consoleの統一された外観と操作性)][Unified look and feel for Okta Dashboard(Okta Dashboardの統一された外観と操作性)]の早期アクセス機能を有効にする必要があります。

End-User Dashboardの新しい外観と操作性

End-User Dashboardでは、サイドとトップのナビゲーションメニューの再設計やグレー背景の追加など、新しい外観と操作性を提供するようになりました。

Universal Syncの新しい属性

Universal Syncでは、次の属性がサポートされるようになりました:AuthOrigDLMemRejectPermsDLMemSubmitPermsUnauthOrig

Okta間のクレーム共有の強化

Okta間のクレーム共有では、シングルサインオン用のスマートカードAuthenticatorとActive Directoryの使用がサポートされるようになりました。これにより、ユーザーがすでにOkta orgに認証されている場合、サービスプロバイダーで認証する必要がなくなります。「SAML IDプロバイダーを追加する」を参照してください。

SSFストリームの検証

Okta SSFトランスミッターでは、検証エンドポイントをサポートして、受信者が検証イベントを要求し、トランスミッターと受信者間のエンドツーエンド配信を検証できるようになりました。SSFトランスミッター検証イベントクレームの構造も、OpenID Shared Signals Framework ID3の仕様に準拠するようになりました。

修正

  • O365 GCC Highアプリにプロビジョニングと[Import Groups(グループのインポート)]が有効化されている場合、[Groups(グループ}]ページにグループアイコンが表示されていませんでした。(OKTA-283826)

  • 末尾の文字を含む一部の証明書が、無効な形式でも正常にアップロードされていました。(OKTA-486406)

  • Office 365およびOffice 365 GCC Highアプリの同意ボタンが正しく表示されていませんでした。(OKTA-488281)

  • Microsoft Office 365 Government - GCC Highアプリ統合に正しいメタデータタグがありませんでした。(OKTA-509443)

  • 属性タイプに基づく式を使用すると、領域割り当てが想定どおりに機能しませんでした。(OKTA-728487)

  • インポート中にインラインフックが競合するappuser値を更新したときに、ユーザーが自動的に確認されませんでした。(OKTA-792372)

  • 認証ポリシーの[Add rule(ルールを追加)]ページのプレビューで、間違った要素タイプが表示される場合がありました。(OKTA-849411)

  • 管理者がユーザーをShareFileアプリに割り当てると、無効な認証エラーが発生する場合がありました。(OKTA-850064)

  • テンプレートの[Audience(オーディエンス)]設定が[Admin only(管理者のみ)]の場合、未確認のプライマリまたはセカンダリのメールアドレス宛てのメールがドロップされていました。(OKTA-852156)

  • [Send all admin emails as BCC(すべての管理者メールをBCCとして送信)]の通知設定が選択されている場合、すべてのメール受信者は、保護対象アクションの[BCC(ブラインドカーボンコピー)]フィールドではなく[To(宛先)]フィールドに送信されていました。(OKTA-856627)

  • ロックされたアカウントの通知から[Send me an email(メールを送信する)]オプションを選択したユーザーは、リクエストメールを受信しませんでした。(OKTA-858751)

  • 一部のユーザーは、プッシュによるOkta Verifyを使用してアカウントの復旧を完了できませんでした。(OKTA-870580)

  • 不明なユーザーがパスワードを復旧しようとしたときに、内部サーバーエラーが発生していました。(OKTA-873911)

  • End-User Dashboardの一部のページでフッターにタイポがありました。(OKTA-877065)

  • 一部のお客様で、Entitlement SAML Assertions and OIDC Claims機能が[Settings(設定)] [Features(機能)]メニューで利用できませんでした。(OKTA-880967)

  • CSVファイルを介してオンプレミスアプリからユーザーをインポートしようとしたときに、Okta Provisioning Agentでエラーが発生していました。(OKTA-880996)

  • 管理者ロールバンドルのアクセス要求が適切に処理されませんでした。(OKTA-892613)

Okta Integration Network

週次の更新

2025.3.1:アップデート1は3月17日にデプロイメントを開始しました

一般利用可能

デバイス保証のOSバージョンアップデート

デバイス保証ポリシーで、次のOSバージョンがサポートされるようになりました。

  • Android 12、13、14、15セキュリティパッチ2025-03-01
  • iOS 18.3.1
  • macOS Ventura 13.7.4
  • macOS Sonoma 14.7.4
  • macOS Sequoia 15.3.1
  • Windows 10(10.0.17763.6893、10.0.19044.5487、10.0.19045.5487)
  • Windows 11(10.0.22621.4890、10.0.22631.4890、10.0.26100.3194)

同一デバイス登録用のSign-In Widget 7.18

orgで同一デバイス登録機能を使用する場合、Sign-In Widgetのバージョンは7.18以降である必要があります。

修正

  • カスタム属性createdByおよびlastUpdatedByがグループルールで使用できませんでした。(OKTA-566492)

  • デバイス保証設定の作成中に問題が発生していました。(OKTA-603807)

  • 一部のAndroidユーザーは、Okta Verifyに登録するときにDuo Verifyで認証できませんでした。(OKTA-791813)

  • アプリケーショングループメンバーのみの表示に制限されているカスタム管理者は、検索やフィルターなしでList All Users APIを使用すると、不完全な結果を受け取りました。(OKTA-801592)

  • 一部のorgで、Oktaから同期が実行されると、Workdayに不要なライトバックが行われていました。(OKTA-817160)

  • グループルールから除外されたユーザーが、Admin Consoleに誤って表示されていました。(OKTA-838039)

  • ユーザーが、すでにサインインしているユーザーとして同一のブラウザでIDプロバイダーを使用してOktaにサインインすると、System Logのuser.authentication.auth_via_socialイベントに2つのユーザー名が表示されました。(OKTA-842179)

  • macOS上でMicrosoft Office 365に認証するユーザーは、Edgeブラウザを使用している場合にのみ、先進認証の条件を含むルールにマッチングされていました。(OKTA-847605)

  • グループ割り当てからスーパー管理者ロールを割り当てられた管理者は、パスワードハッシュのエクスポートを実行したり、レポートを表示したりできませんでした。(OKTA-851991)

  • ユーザーによるMFA登録レポートで、セキュリティ質問のAuthenticatorに不正確な数が表示されていました。(OKTA-858427)

  • 管理者が認証ポリシーを構成した場合、Oktaが想定よりも早くタイムアウトすることがありました。(OKTA-867807)

  • [Recent activity(最近のアクティビティ)]および[My Settings(自分の設定)]ページのブラウザタブにページタイトルが正しく表示されませんでした。(OKTA-874289)

  • 認証ポリシーでデバイス条件を使用すると、認証後セッションポリシーの評価が失敗し、policy.auth_reevaluate.failイベントが生成されることがありました。(OKTA-876114)

  • ロールと管理者のメール通知を両方とも選択すると、管理者は正しい通知を受信しませんでした。(OKTA-876846)

  • [Back to sign in(サインインに戻る)]ボタンは、Sign-In Widget(第3世代)バージョン7.26.1以降では機能しませんでした。(OKTA-877241)

  • 非表示のアプリに割り当てられたOkta管理者は、サインイン時にAdmin ConsoleでなくEnd-User Dashboardに移動されていました。(OKTA-882675)

  • [Unified look and feel for Okta Admin Console(Okta Admin Consoleの統一された外観と操作性)]機能を有効化すると、[Settings(設定)]および[Features(機能)]ページがSafariブラウザで正しく表示されませんでした。(OKTA-884821)

  • 管理者は、Okta間のクレーム共有が有効化されたorgでサードパーティのIDプロバイダーを作成または編集できませんでした。(OKTA-893483)

Okta Integration Network

2025.3.2:アップデート2は3月24日にデプロイメントを開始しました

一般利用可能

Sign-In Widget、バージョン7.29.2

このリリースの詳細については、「Sign-In Widgetのリリースノート」を参照してください。

ウィジェットの詳細については、「Okta Sign-In Widgetガイド」を参照してください。

スクリーンリーダーのアクセシビリティ強化

エンドユーザーの[Settings(設定)]ページでUI要素が強化され、スクリーンリーダーで動作するようになりました。「ユーザー設定」を参照してください。

修正

  • カスタム属性createdByおよびlastUpdatedByがグループルールで使用できませんでした。(OKTA-566492)

  • クエリで送信されたパラメータの数が最大値を超えると、Workdayのインポートが失敗することがありました。(OKTA-819984)

  • DNSの問題により、従来の組み込みブラウザで認証が中断または阻止されていました。(OKTA-845120)

  • Workdayの管理者属性への変更が、フルインポート後にのみOktaに反映されていました。(OKTA-846352)

  • [App settings for custom admin roles(カスタム管理者ロールのアプリ設定)]機能が有効化されている場合、[View Client Credentials(クライアント資格情報の表示)]権限が表示されませんでした。(OKTA-851994)

  • SWAとのAWSアカウントフェデレーションは、新しいAWSサインインページと互換性がありませんでした。(OKTA-856995)

  • [Enable Sync Account Information(アカウント情報の同期を有効にする)]設定がカスタムドメインで無効になっている場合でも、login.okta.comはiframeを読み込んでいました。(OKTA-865098)

  • 動的ゾーンで、サードパーティプロバイダーによる構成の誤りにより、一部のIPが匿名プロキシとして誤って分類されていました。(OKTA-867976)

  • Admin Dashboardで、一部の[post auth session(認証後セッション)]ラベルが[session protection(セッション保護)]に更新されませんでした。(OKTA-886337)

  • 管理者は、グローバルセッションポリシーの最大アイドル時間を、以前保存した最大セッション時間よりも長い期間に設定した場合、その時間を増やせませんでした。(OKTA-891348)

Okta Integration Network

2025.3.3:アップデート3は3月31日にデプロイメントを開始しました

一般利用可能

条件付きプロファイル属性を使った高度な検索

割り当てられている管理者ロールに特定のユーザープロファイル属性に対するアクセス権条件がある場合は、それらの属性を持つユーザーを検索できるようになりました。高度な検索はOR演算子をサポートしていないことに注意してください。「権限条件」を参照してください。

修正

  • システムログイベントpolicy.rule.update[debug data(デバッグデータ)]フィールドに、誤ったデータが表示されていました。(OKTA-846160)

  • ユーザーが生体認証方式で認証しようとすると、間違ったエラーメッセージが表示されていました。(OKTA-846488)

  • リスク情報が、デバイスコンテキストによってトリガーされる一部のuser.session.context.changeイベントで欠落していました。(OKTA-880859)

  • Oktaアカウント管理ポリシーがセルフサービスによるロック解除に使用され、ユーザーが利用できる要素が1つしかない場合、プロセスを開始すると、その要素が自動的に選択されました。(OKTA-884244)

  • Oktaアカウント管理ポリシーですべてのアクションに対してID検証が必要な場合、ユーザーがプロファイル設定を編集しようとすると500内部サーバー エラーが発生していました。(OKTA-888155)

  • org間構成のハブorgでパスキーの自動入力機能が有効化されていて、構成されているIDプロバイダーが1つのみの場合、ユーザーがサインインするとハブ以外のorgに自動的にリダイレクトされませんでした。(OKTA-888882)

  • Google Workspaceライセンスを編集できない場合がありました。(OKTA-892397)

  • システムログイベントuser.identity_verificationに、完了したID検証の保証レベルが正しく表示されませんでした。(OKTA-893343)

  • 管理者は、Okta間のクレーム共有が有効化されたorgでサードパーティのIDプロバイダーを作成または編集できませんでした。(OKTA-893483)

  • ロールに権限条件がある管理者は、ユーザーを名または姓で検索できませんでした。(OKTA-894392)

  • [Password Policy(パスワードポリシー)][Add rule(ルールを追加)]ページで、一部のテキストの位置がずれていました。(OKTA-897943)

Okta Integration Network

バージョン:2025.02.0

2025年2月

一般利用可能

Sign-In Widget、バージョン7.28.0

このリリースの詳細については、「Sign-In Widgetのリリースノート」を参照してください。

ウィジェットの詳細については、「Okta Sign-In Widgetガイド」を参照してください。

アクセス要求のリクエスト有効期限と強化された通知

古いリクエストの蓄積を防ぎ、通知エクスペリエンスを向上させるために、次の変更を行っています。

  • 新しいリクエストは連続で60日間アクティビティがない場合、自動的に期限が切れるようになりました。タスクを完了したり、質問に回答したり、リクエストにメッセージを残したりすると、60日間の有効期限がリセットされます。この機能が一般提供される前に作成されたリクエストは、60日間アクティビティがないと期限切れになります(2025年4月7日前後)。

  • 有効期限が切れるリクエストの通知は、リクエストの期限が切れる30日前、5日前、1日前に送信されます。

  • 期限切れのタスクやリクエストに関するリマインダーを毎日受信するユーザー設定は、利用できなくなりました。新しいリクエスト有効期限通知に変更されています。

CerbyアプリのUniversal Logout

CerbyでUniversal Logoutがサポートされるようになりました。これにより、管理者はUniversal Logoutがトリガーされると、ユーザーをこのアプリから自動的にサインアウトさせることができます。

アクセス認定の新しい外観と操作性

アクセス認定で、ダッシュボードにあるアクセス認定レビューアプリの外観と操作性が新しくなり、上部のナビゲーションバーのスタイルが変更され、グレー背景が追加されました。

認証方法チェーンのオプション

認証ポリシールールページにある認証方法チェーンの[Pin or biometric verification(PINまたは生体認証による検証)]ラベルが、[User interaction(ユーザーインタラクション)]に変更されました。「認証方法チェーン」を参照してください。

System Logの新しい属性

システムログイベントapplication.policy.sign_on.deny_accessにアプリインスタンスIDが表示されるようになりました。これにより、影響を受けるアプリの識別が容易になり、イベントにリソースベースのフィルタリングが可能になります。

System Logの新しい属性

[PolicyName]フィールドが、システムログイベントpolicy.evaluate_sign_onに追加されました。この変更により、管理者はユーザーのサインイン試行に関係したポリシーを識別しやすくなります。

Microsoft Office 365できめ細かなプロビジョニング解除を使用してユーザーを削除する

Office 365のプロビジョニング解除プロセスの一環として、ユーザーを削除できるようになりました。「Office 365のデプロビジョニングオプション」を参照してください。

RADIUSプッシュ通知

RADIUSプッシュ通知にオペレーティングシステムが含まれなくなりました。この情報を表示する必要がある場合は、Oktaサポートまでお問い合わせください。

Active Directoryグループの説明のインポートへのサポート

Active Directoryをソースにするグループの説明に、ADの説明が使用されるようになりました。これらは、OktaでADをソースとするグループの説明に代わるもので、以前の説明では識別名(DN)のバージョンが明瞭に出力されていました。

Hyperdriveエージェントの新しいバージョン

このバージョンには、Microsoft Edge WebView2コントロールが含まれています。「Okta Hyperdriveエージェントのバージョン履歴」を参照してください。

認証ポリシールールページの更新

認証ポリシー ルールページの[If Okta FastPass is used(Okta FastPassを使用する場合)]セクションが削除されました。代わりに、ユーザーは[Possession factor constraints are(所有要素の制約:)]セクションで[Require user interaction(ユーザーインタラクションを求める)]オプションを選択できます。「認証ポリシールールを追加する」を参照してください。

Agentless Desktop Single Sign-onおよび統合Windows認証のポーリング

Agentless Desktop Single Sign-on(ADSSO)および統合Windows認証(IWA)の認証セッションにポーリングが追加され、帯域幅のピーク使用時にサービスが中断する可能性が低減しました。ピーク使用時にADSSOまたはIWAで認証を行うユーザーは、この変更により、サーバーで認証要求を処理できる可能性が高くなります。

なりすましイベントの件数

orgがサポートケースのなりすましを許可すると、ケース番号がSystem Logに表示されるようになりました。「アクセスをOktaサポートに付与する」を参照してください。

パブリッククライアントアプリ管理者のシステムログイベント

管理者が[Account(アカウント)]ページで[Automatically assign the super admin role to all newly created public client apps(新たに作成されたすべてのパブリッククライアントアプリに自動的にスーパー管理者ロールを割り当てる)]チェックボックスを選択すると、System Logにイベントが記録されるようになりました。

Office 365のステップアップ認証

この機能強化により、認証ポリシーでMFAが構成されていなくても、お客様が必要に応じてOkta MFAを動的に要求できるようになります。「Azure Active Directory向けのOkta MFAを使用する」を参照してください。

ADSSO認証パラメーター

状態トークンが使用されている場合、ADSSO認証のPOSTリクエストからfromURIパラメーターが削除されます。

Desktop MFAに番号チャレンジを強制適用する

Desktop MFA向けのプッシュ通知すべてに番号チャレンジを、認証ポリシーに関係なく強制適用できるようになりました。「アクセスポリシーを構成する」を参照してください。

Active Directoryをソースとするユーザーのパスワードリセットプロセスの改善

パスワードリセットプロセスでは、複製の遅延を回避するために、パスワードの更新と検証の要求が同一のActive Directoryエージェントに送信されるようになりました。

ロールベースのアクセス制御が利用可能

Okta Workflowsでは、Okta内と接続された他のSaaSアプリの両方に包括的な変更を加えることができるため、以前はWorkflowsへのアクセスはOktaスーパー管理者に制限されていました。この制限によりOkta Workflowsのセキュリティは強化されましたが、ユーザー数とOkta Workflowsのスケーラビリティが制限され、顧客に対する全体的な価値を下げていました。

ロールベースのアクセス制御(RBAC)を使用すると、不要なアクセス権を付与することなく、より多くのユーザーにWorkflows権限を割り当てられるようになりました。

この機能をサポートするために、3つの新しいロールが利用可能です。

  • Workflows管理者:Okta Workflows内のみをフルアクセス管理
  • Workflows監査者:読み取り専用アクセスによるコンプライアンス管理
  • 接続マネージャー:アカウントと資格情報の安全な処理

RBACを使用すると、Okta Workflowsの使用をスーパー管理者以外にも拡張でき、より多くのチームメンバーがWorkflowsを安全かつ効率的に構築、実行、管理できるようになります。

「アクセス制御」を参照してください。

Okta System LogにRBAC機能のアクティビティを記録する新しいイベントタイプが4つあります。

  • workflows.user.role.user.add
  • workflows.user.role.user.remove
  • workflows.user.role.group.add
  • workflows.user.role.group.remove

Event Types API」を参照してください。

早期アクセス

Okta org間での認証クレームの共有

管理者は、認証クレームの共有により、SSO中にIdPからのクレームを信頼するようにOkta orgを構成できます。クレームを共有すると、OktaはIdPからの認証コンテキストを解釈することもできます。これにより、ユーザー認証時の重複した要素チャレンジが排除され、セキュリティ体制が向上します。「SAML IDプロバイダーを追加する」を参照してください。

Okta Device Accessのカスタム管理者ロール

カスタム管理者ロールを構成して、Okta Device Access機能を表示および管理できるようになりました。この機能強化により、ITチームは、最も高いセキュリティ権限を必要とせずにOkta Device Access機能を効果的に管理できる管理者を指定できます。「Desktop MFAの復旧」を参照してください。

SAP Netweaver ABAP用On-prem Connector

SAP NetWeaver ABAP用On-prem Connectorは、すぐに使用できるソリューションを提供し、SAPオンプレミスアプリをOkta Identity Governanceに接続します。これにより、Oktaで直接SAP権限(ロール)を検出、可視化、管理できます。この統合により、カスタム統合の必要性がなくなり、エンタイトルメント管理が合理化されることで、セキュリティの強化、時間の節約、ガバナンスの簡素化が実現します。「SAP Netweaver ABAP用On-prem Connector」を参照してください。

ポリシー更新のためのステップアップ認証

Oktaでは、管理者がAdmin Consoleでサインオンポリシーの更新などの保護対象アクションを実行すると、ステップアップ認証を要求します。変更は、管理者が正常に認証された後にのみ許可されます。この機能により、管理者は保護対象アクションを実行する前にMFAを要求できるようになり、orgのセキュリティが強化されます。「Admin Consoleの保護対象アクション」を参照してください。

System LogでMFAの放棄を追跡する

user.authentication.auth_via_mfaイベントを使用して、System Logで放棄されたMFA試行を監視できるようになりました。イベント結果に2つのステータスが追加されました。

  • 未回答:MFAプロンプトは放棄されたが、ユーザーは最終的に別のAuthenticatorを使用してサインインした。
  • 放棄:MFAプロンプトは放棄され、ユーザーはサインインできなかった。「System LogでMFAの放棄を追跡する」を参照してください。

修正

  • エンドユーザーの新しい[Settings(設定)]ページには、リンク、パスワードのソーステキスト、カスタムプロファイルデータが表示されませんでした。(OKTA-806262)

  • WS-Federationセットアップが正常に完了したにもかかわらず、セットアップ中に警告バナーが誤って表示されていました。(OKTA-807313)

  • Sign-In Widget(第3世代)のサイズが正しくなく、アプリ名がありませんでした。(OKTA-822649)

  • OktaがソースorgであるOrg2Org構成で、ユーザーが新しくリセットされたパスワードを使用してサインインした後に、パスワードが同期されていませんでした。(OKTA-833862)

  • Sign-In Widget(第3世代)でパスキーの自動入力が失敗し、Invalid passkeyエラーが表示されていました。(OKTA-836910)

  • 従業員がSuccessFactorsにインポートされると、現在のレコードでなく過去の雇用レコードがインポートされていました。(OKTA-844570)

  • カスタムドメインが削除される、またはその登録がリセットされると、結果として送信される確認メールでリンクが壊れており、ブランディングされていませんでした。(OKTA-848261)

  • ユーザーがSecure Partner Accessポータルにサインインすると、End-User Dashboardにリダイレクトされていました。(OKTA-855049)

  • MicrosoftのMSOL廃止テストにより、OktaのOffice 365プロビジョニングに残っている最後のMSOL呼び出しがトリガーされ、ユーザー属性の同期に失敗していました。(OKTA-870164)

Okta Integration Network

週次の更新

2025.2.1:アップデート1は2月18日にデプロイメントを開始しました

一般利用可能

Sign-In Widget、バージョン7.28.1

このリリースの詳細については、「Sign-In Widgetのリリースノート」を参照してください。

ウィジェットの詳細については、「Okta Sign-In Widgetガイド」を参照してください。

On-Prem MFAエージェントの新しいバージョン

On-Prem MFAエージェントのバージョン1.8.1が利用可能になりました。このバージョンには、セキュリティ強化が含まれます。

デバイス保証のOSバージョンアップデート

デバイス保証ポリシーで、次のOSバージョンがサポートされるようになりました。

  • Android 12、13、14、15セキュリティパッチ2025-02-05
  • iOS 18.3
  • macOS Ventura 13.7.3
  • macOS Sonoma 14.7.3
  • macOS Sequoia 15.3
  • Windows 10(10.0.17763.6775、10.0.19044.5371、10.0.19045.5371)
  • Windows 11(10.0.22621.4751、10.0.22631.4751、10.0.26100.2894)

サードパーティのID検証用の新しいシステムログイベント

イベントタイプuser.identity_verificationは、リクエストがOkta Account Management Policy(OAMP)評価の結果としてユーザーID検証のサードパーティサービスに送信された際にトリガーされます。

修正

  • サードパーティ管理者のステータスが管理者またはグループに付与または取り消されていても、System Logにイベントが記録されませんでした。(OKTA-823842)
  • Admin Consoleで、Oktaで解析できなかったコードエディターの更新により、500内部サーバーエラーが返されていました。(OKTA-837068)
  • Active DirectoryまたはLDAPからプロファイルをインポートしたユーザーは、[Forgotten password(パスワードを忘れた場合)]をクリックするとエラーメッセージが表示されました。(OKTA-840053)
  • アカウントでパスワードが期限切れになっているユーザーをグループ所有者として追加できませんでした。(OKTA-846195)
  • 適切な権限を持たない管理者が、[Import Monitoring(モニタリングのインポート)]レポートを表示できました。(OKTA-850050)
  • 一部のユーザーがiOSデバイスでアプリにアクセスしようとすると、Okta FastPassから二重のサインインプロンプトが表示されました。(OKTA-856105)
  • NORDLAYER_VPNが、拡張動的ゾーンでサポートされるIPサービスカテゴリーとして誤って発表されました。(OKTA-857826)
  • グローバルセッションポリシーで、信頼クレームに対する一部のAuthenticatorにエラーメッセージが誤って表示されました。(OKTA-860139)
  • ユーザーがサインインし、Okta間のクレーム共有が構成されている場合、AMR値がアプリに転送されませんでした。(OKTA-860242)
  • Okta間のクレーム共有機能のヘルプリンクがありませんでした。(OKTA-860321)
  • 認証ポリシールールページに所有制約のヘルプリンクがありませんでした。(OKTA-862670)

Okta Integration Network

2025.2.2:アップデート2は2月24日にデプロイメント開始しました

修正

  • 非アクティブなLDAPインスタンスを使用すると、Okta LDAPエージェントのインストールに失敗しました。(OKTA-467846)

  • 管理者がorgで有効化されていない機能を使用しようとすると、403でなく長いエラーメッセージが表示されました。(OKTA-733031)

  • サードパーティ管理者のステータスが管理者またはグループに付与または取り消されていても、System Logにイベントが記録されませんでした。(OKTA-823842)

  • 一部の認証ポリシーで、[Access is(アクセス:)]オプションが[Allowed after successful authentication(認証の成功後に許可)]に変更されると、[User must authenticate with(ユーザーが認証に使用する要素:)]ドロップダウンメニューに[1 factor type(1要素タイプ)]オプションが表示されました。(OKTA-826154)

  • 新しく作成されたAPIサービス統合アプリが、[Authentication policies(認証ポリシー)]ページに表示されました。(OKTA-836681)

  • 認証ポリシーの[Add a policy(ポリシーを追加する)]ページの一部フィールドで、通常のテキストだけでなくコードも受け入れられていました。(OKTA-837343)

  • Oktaアカウント管理ポリシーが有効化されているorgで、セルフサービスによるアカウントのロック解除を正常に完了したフェデレーションユーザーがサインインできませんでした。(OKTA-839418)

  • contains演算子で、3文字未満を使用した場合、または他の演算子と併用した場合に、不明瞭なエラーメッセージが表示されることがありました。(OKTA-846206)

  • タイムアウトのため、LDAPからのフルインポートが失敗することがありました。(OKTA-849200)

  • セッションAPIを使用してセッションを作成すると、ユーザーに多要素認証を求めるプロンプトが表示されていませんでした。(OKTA-858391)

  • 一部の顧客がSign-In Widgetで[Back to sign in(サインインに戻る)]をクリックすると、アイデンティティベンダーによる本人確認を要求されていませんでした。(OKTA-860270)

  • 一部のエンドポイントで、外部リダイレクトURLへのアクセスがブロックされていませんでした。(OKTA-860388)

  • Oktaアカウント管理ポリシーが有効化されている場合、[End User Settings(エンドユーザー設定)]ページに移動した一部のユーザーがOkta Dashboardにリダイレクトされていました。(OKTA-864257)

  • 管理者がアプリを構成する際に、Entitlement SAML Assertions and OIDC Claimsを5つまでしか取得できませんでした。(OKTA-865900)

  • 不明なユーザーがパスワードを復旧しようとしたときに、内部サーバーエラーが発生していました。(OKTA-873911)

Okta Integration Network

  • AqueraのAWS S3(SCIM)が利用可能になりました。詳細を確認してください
  • Clutch Security(APIサービス)が利用可能になりました。詳細を確認してください
  • Datadog(SCIM)でグループプッシュがサポートされるようになりました。
  • AqueraのOracle Database(SCIM)が利用可能になりました。詳細を確認してください
  • Perimeter 81(SAML/SCIM)に新しいアイコン、表示名、説明があります。

2025.2.3:アップデート3は3月3日にデプロイメントを開始しました

一般利用可能

Sign-In Widget、バージョン7.28.2

このリリースの詳細については、「Sign-In Widgetのリリースノート」を参照してください。

ウィジェットの詳細については、「Okta Sign-In Widgetガイド」を参照してください。

修正

  • ユーザーが修復不可能なAuthenticatorを復旧しようとすると、分かりにくいエラーメッセージを受け取っていました。(OKTA-717735)

  • 一部のユーザーは、アクティベーションリンクの有効期限が切れた後でも最初のパスワードを設定できました。(OKTA-843013)

  • 認証ポリシーの[Add rule(ルールを追加)]ページのプレビューで、間違った要素タイプが表示される場合がありました。(OKTA-849411)

  • 一部のorgでは、OktaユーザーとADソースユーザーが[Settings(設定)]ページで自分のプロファイル情報を編集できませんでした。(OKTA-864160)

  • 動的ゾーンで、サードパーティプロバイダーによる構成の誤りにより、一部のIPが匿名プロキシとして誤って分類されていました。(OKTA-864349)

  • System Logに、ファーストパーティアプリからの更新リクエストに対して正確なクライアントIPアドレスデータが表示されていませんでした。(OKTA-864998)

  • [Realms(領域)]ページのテキストの一部が翻訳されていませんでした。(OKTA-875929)

Okta Integration Network