Okta Identity Engineリリースノート（本番）

アクセスリクエスト通知への変更

プラットフォーム全体で会話が一貫して表示されるように、Webアプリからのアクセスリクエスト内で送信されたメッセージが、SlackまたはMicrosoft Teamsの該当するスレッドでメッセージ送信者に自動的に表示されるようになりました。これにより、リクエストのある関連メッセージにてメッセージ送信者の混乱が軽減されます。

Okta Provisioning Agent、バージョン3.0.4

Okta Provisioning Agent 3.0.4が利用可能になりました。このリリースには、バグ修正と軽微な改善が含まれます。

Okta Provisioning Agent用の簡素化されたWindowsインストーラー

Okta Provisioning Agent用のWindowsインストーラーUIが簡素化されました。環境選択のドロップダウンリストが削除され、幅広いOkta環境がサポートされるようになりました。

デバイス保証のOSバージョン更新

デバイス保証ポリシーで、次のOSバージョンがサポートされるようになりました。

• iOS 18.7.1
• iOS 26.0.1
• macOS Sonoma 14.8.1
• macOS Sequoia 15.7.1
• macOS Tahoe 26.0.1

エンティティリスクポリシーに追加された検出

エンティティリスクポリシーに新しい検出が追加されました。

• FastPassによってフラグ付けされたIPからの不審なログイン：Okta FastPassがフィッシングイベントでフラグ付けしたIPアドレスからサインインイベントが発生したことを示します。

• 資格情報ベースの攻撃でフラグ付けされたIPからの不審なログイン：サインインの失敗が複数回発生したIPアドレスからサインイン成功イベントが発生したことを示します。

• 侵害された資格情報の検出：org内のユーザー名とパスワードの組み合わせが、公開されているデータ侵害のサードパーティリストに含まれていることを示します。

「エンティティリスクポリシーの検出設定」を参照してください。

Okta Active Directory Password Syncエージェント、バージョン1.7.0

このバージョンのエージェントには、セキュリティ強化が含まれます。

イベントに追加されたトレースID

traceIdがsecurity.breached_credential.detectedのSystem Logイベントに追加され、user.risk.detectなどのITPイベントとSystem Log内のERPイベントを簡単にクエリおよびリンクできるようになりました。

委任フローの新しい外観と操作性

委任フローページのボタン、モーダル、入力フィールドのデザインを一新し、ユーザーエクスペリエンスが改善されました。「委任されたフロー」を参照してください。

エンドユーザー向けのバスク語翻訳

End-User Dashboardで、ユーザーは表示言語をバスク語に設定できるようになりました。言語を選択すると、ユーザーのサインイン時などのエンドユーザーエクスペリエンスが状況に応じて翻訳されます。サポートされている表示言語を参照してください。

拡張動的ゾーン向けの新しいVPNサービス

SURF_EASY_VPNが拡張動的ゾーンの個別のVPNサービスカテゴリーとしてサポートされるようになりました。「サポートされるIPサービスカテゴリー」を参照してください。

エラーメッセージの更新

式が無効なグループルールをアクティブ化すると表示されるエラーメッセージのテキストが更新され、失敗の理由が含まれるようになり、トラブルシューティングが容易になりました。

ユーザー作成権限の条件

カスタム管理者ロールの［Create user（ユーザーの作成）］権限に条件を追加できるようになりました（レルムが有効化されたorgとレルムがないorgの両方に適用）。「権限条件」を参照してください。

Okta Expression Languageでのユーザーステータス

Okta Expression Languageでユーザーステータスを参照できるようになりました。グループルールでユーザーステータスを利用して、グループメンバーシップを推進することができます。

SharePointオンプレミス統合によるSHA-256のサポート

SharePoint統合（WS-Fed）では、認証トークンの署名にSHA-256が使用されるようになりました。

Microsoft Office 365のグループプッシュリンク

Microsoft Office 365統合のグループプッシュ機能が強化され、既存のOktaグループを既存のEntraグループとリンクできるようになりました。

この変更により、Oktaがグループメンバーシップの信頼できる唯一のソースとして確立されます。リンクされると、Oktaで行われたメンバーシップの変更が自動的にプッシュされ、一貫性とシームレスなアクセス制御が確保されます。

O365のUniversal Syncプロビジョニングにおける追加属性のサポート

Windows Hello for Businessを介したKerberosリソースへのシームレスなアクセスを実現し、地域に基づいたデータ管理を支援するために、OktaではO365のUniversal Syncプロビジョニングで4つの追加属性をサポートするようになりました。

• onPremisesSamAccountName
• onPremisesDomainName
• onPremisesUserPrincipalName
• PreferredDataLocation

セッション保護違反レポートの変更事項

セッション保護違反レポートにリスクレベル（低、中、高）でフィルタリングできるフィルターが追加されました。また、セッションコンテキスト変更数がレポートから削除されました。

Okta Integration IdPタイプ

Okta統合IdPを使用すると、Okta orgを外部IdPとして使用でき、構成を簡素化して安全なデフォルトを提供できます。「Okta統合IDプロバイダーを追加する」を参照してください。

ITPのカスタム管理者ロール

この機能により、顧客は詳細なITP権限とリソースを使用してカスタムロールを作成し、ITPの構成と監視を適切な範囲で認可することができます。「ITPのカスタム管理者ロールを構成する」を参照してください。

新しいASNの振る舞い検知

管理者は、IP、速度、ロケーション、またはデバイスの振る舞い検知を作成することができます。この新機能により、イベントに関連付けられたリクエストで見つかったIPに基づいて、新しいASN（Autonomous system番号）の振る舞い検知が導入されました。「ASN動作を追加する」を参照してください。

パートナー管理者ポータルの翻訳更新

ユーザーを追加およびユーザーを編集のフォームで日本語翻訳が更新されました。この変更により、日本語ラベルが英語ラベルと一致するようになりました。

Office 365ライセンスとロールの管理で同期エンタイトルメントがサポートされるようになりました

Identity Governanceが有効化されているorgのOffice 365ライセンスとロールの管理プロビジョニングタイプで同期エンタイトルメントがサポートされるようになりました。

Sign-In Widget、バージョン7.35.0

このリリースの詳細については、「Sign-In Widgetのリリースノート」を参照してください。ウィジェットの詳細については、「Okta Sign-In Widget」を参照してください。

アクセスリクエストのユーザーエクスペリエンスの改善

アクセスリクエストの詳細ページが改善され、承認者が割り当てられたタスクと要求者が送信した回答がよりわかりやすくなりました。SlackまたはTeamsをアクセスリクエストと統合した場合、承認者が受け取るアクセスリクエストメッセージに同様の変更が加えられました。さらに、メール通知送信者の名前とアドレスが変更されました。送信者の名前はOkta Access Requests、メールアドレスはnoreply@at.okta.comです。

Okta Provisioning AgentとSDKの新しいバージョン

Okta Provisioning Agent 3.0.3とOkta Provisioning Agent SDK 2.4.0が利用可能になりました。これらのリリースには、バグ修正と軽微な改善が含まれます。

パートナー管理者ポータルでの検索の改善

パートナー管理者ポータルのユーザーリストが、デフォルトで［最終更新日］列で降順に並べ替えられるようになりました。検索機能では、3文字以上に対してContains演算子を使用します。

デバイス保証のOSバージョン更新

デバイス保証ポリシーで、次のOSバージョンがサポートされるようになりました。

• Android 13、14、15、16セキュリティパッチ2025-09-01
• iOS 18.6.2
• iOS 26.0.0（メジャーバージョン）
• macOS Ventura 13.7.8
• macOS Sonoma 14.7.8
• macOS Sequoia 15.6.1
• macOS Tahoe 26.0.0（メジャーバージョン）
• Windows 10（10.0.17763.7678、10.0.19044.6216、10.0.19045.6216）
• Windows 11（10.0.22621.5768、10.0.22631.5768、10.0.26100.4946）

次のバージョンはサポートされなくなりました。

• iOS 15.8.4
• iOS 16.7.11
• macOS 12.7.6
• Windows 11（10.0.22000.3260）

コンテンツセキュリティポリシーにnonce提供開始

Oktaは、htmlコンテンツを返すすべてのエンドポイントに対して、コンテンツセキュリティポリシーのstyle-srcディレクティブにnonceの提供を開始します。これは2段階のプロセスです。まず、nonceをContent-Security-Policy-Report-Onlyヘッダーstyle-srcディレクティブに追加します。次に、安全でないインラインインスタンスが識別され修正された後、nonceがContent-Security-Policyヘッダーstyle-srcディレクティブに追加されます。この更新は、すべてのエンドポイントに段階的に適用されます。

これらの更新は、Oktaドメインと、管理者がカスタマイズできないカスタムドメインページ（カスタムドメインのサインインページやエラーページなど）に適用されます。「エラーページをカスタマイズする」を参照してください。

GZIP形式でAdmin Consoleレポートをエクスポートする

ほとんどのAdmin Consoleレポートを、既存のCSV形式に加えてGZIP形式でエクスポートできるようになりました。GZIPでのエクスポートは、行制限が高く（3,000万）、ファイルサイズは小さいです。

侵害された資格情報の保護

侵害された資格情報の影響からorgを保護します。Oktaでは、サードパーティが選択したデータセットと比較した後、ユーザー名とパスワードの組み合わせが侵害されたと判断された場合、ユーザーパスワードのリセット、強制ログアウト、委任Workflowの呼び出しなど、パスワードポリシーにより保護応答をカスタマイズできます。「侵害された資格情報の保護」を参照してください。

この機能は徐々に運用を開始しています。

管理者ロールの割り当て・取り消しは保護対象アクション

管理者がユーザーの管理者ロールを割り当てる、または取り消すと、追加の認証を求められるようになりました。「Admin Consoleの保護対象アクション」を参照してください。

APIサービスアプリ

APIサービスアプリは、作成時に共有されたデフォルトのアプリサインインポリシーに割り当てられなくなりました。「アプリ・サインイン・ポリシー」を参照してください。

認証ポリシーUIの更新

認証ポリシーの名前が変更され、「アプリサインインポリシー」と呼ばれるようになりました。「認証ポリシー」という用語は、アプリサインインポリシーやOktaアカウント管理ポリシー、セッション保護ポリシーのポリシーグループを指すようになりました。これらのページではUIの強化も行われ、ナビゲーションとユーザーエクスペリエンスが改善されました。「アプリ・サインイン・ポリシー」を参照してください。

「［サインイン状態を維持する］をクリア」の新しいオプション

［セッションを消去してトークンを取り消す］ダイアログでユーザーのIdPセッションと更新トークンを取り消す場合、管理者は［サインイン状態を維持する］をクリアのオプションを使用するかどうかを選択できるようになりました。

Admin Consoleでのレルムの更新

ユーザーを追加フォームのレルムドロップダウンのヒントテキストが更新され、手順が明確になりました。

OINカタログのセキュリティアイデンティティ統合

アプリ統合カタログを参照ページに、セキュリティアイデンティティ統合の新しいチェックボックス3つ（［セキュリティアイデンティティ統合 - 基本］、［セキュリティアイデンティティ統合 - 高度］、［セキュリティアイデンティティ統合 - 戦略的］）が表示されるようになりました。1つ選択すると、OINカタログにその特定の機能を持つアプリのみが表示されます。

新しいシステムログターゲット

認証登録ポリシーのターゲットが、「policy.evaluate_sign_on」システムログイベントに追加されました。この変更により、管理者はユーザーのサインイン試行に関係したポリシーを識別しやすくなります。

LDAPインターフェイスのOIDCアプリ

LDAPインターフェイスに、パスワードのみを強制適用するアプリサインインポリシーが追加されました。これは、事前にLDAPインターフェイスがセットアップされていないOkta orgにのみ適用されます。既存のLDAPインターフェイスがセットアップされたorgでは、グローバルセッションポリシーが引き続き、LDAPインターフェイスの認証ポリシーを制御します。「LDAPインターフェイスのセットアップと管理」を参照してください。OpenID Connect（OIDC）接続のセッション長が1時間に制限されました。セッションが失効した後、同じ接続でSEARCHクエリを実行し続けるには新しいBIND操作が必要です。この強制セッションの長さを説明するために、既存スクリプトの更新が必要になる場合があります。

不明なプラットフォームをデスクトップにマッピングする

Oktaでは、認識されないプラットフォーム条件を［Other desktop（その他のデスクトップ）］にマッピングするようになりました。以前は、認識されないプラットフォーム条件は、アプリサインインポリシーで［任意のプラットフォーム］条件が選択された場合にのみ正しく一致していました。

アプリコンテキストを外部IdPに送信する

ユーザーがアプリへのアクセスを試みる際に、アプリに関するコンテキストを外部のIDプロバイダー（IdP）に転送できるようになりました。IdPのアプリケーションコンテキストチェックボックスを有効にすると、外部IdPに送信されるSAMLまたはOpenID Connectリクエストにアプリ名と一意のインスタンスIDが含まれます。この機能強化により、外部IdPは情報に基づいた、コンテキストに応じた認証決定を行えるようになり、高度なセキュリティシナリオとゼロトラスト環境がサポートされます。

Office 365 WS-Federationの子ドメイン認証

Office 365 WS-Federationの自動構成で、子ドメイン認証がサポートされるようになりました。「単一のアプリインスタンスで複数のOffice 365ドメインをフェデレーションする」を参照してください。

Oktaファーストパーティアプリのアプリスイッチャー

End-User Dashboard、Admin Console、Workflowsコンソールにアプリスイッチャーが追加され、管理者は割り当てられたOktaアプリ間をすばやく移動できるようになりました。アプリスイッチャーを表示するには、Okta Admin Consoleの統一された外観と操作性とOkta Dashboardの統一された外観と操作性の早期アクセス機能を有効にする必要があります。

エンドユーザー向けの新しいパスワード変更機能

［自分の設定］の［セキュリティ方式］ページで、エンドユーザーがパスワードを変更できるようになりました。

デバイス保証のためのカスタム修復

Okta VerifyまたはChrome Device Trustによるデバイスポスチャチェックの失敗により認証が失敗した場合、ユーザーにカスタム修復手順を表示できるようになりました。「デバイス保証のカスタム修復手順を構成する」を参照してください。