Okta Identity Engineリリースノート(本番)

一般利用可能

バージョン:2026.07.0

デバイス保証のOSバージョン更新

デバイス保証ポリシーで、次のOSバージョンがサポートされるようになりました。

  • Android 13、14、15、16セキュリティパッチ2026-01-05
AIエージェントトークン向けの仕様準拠のクライアントIDクレーム

AIエージェントOAuth 2.0クライアントのユーザークレームの評価中に、 Okta Expression Languageプロファイルにapp.clientIdプロパティが含まれるようになりました。これにより、開発者はAIエージェントのフロー中に仕様に準拠したトークンを生成できるようになります。

Salesforceリクエスト向けのOAuthのセキュアなトークン交換

Okta for AI Agentsは、 Salesforceアプリ統合、リソースサーバー、またはMCPサーバーにリクエストを送信するときに、 OAuth 2.0のセキュアなトークン交換フローを使用するようになりました。

AIエージェントのイベントが、イベントフックの対象になりました。

AIエージェントとAIエージェントプロバイダーがイベントフック対応になり、イベントに基づいてWorkflowsをトリガーできるようになりました。「イベントフック」を参照してください。

Rapid7 InsightAppSecのプロビジョニング

Rapid7 InsightAppSecアプリ統合のプロビジョニングが利用できるようになりました。アプリをプロビジョニングするとき、エンタイトルメント管理などのセキュリティ機能を有効にできます。「Rapid7 InsightAppSec」を参照してください。

複数ユーザーへのステップ再割り当て

承認シーケンスまたはリクエストタイプ内のステップを10人のユーザーに再割り当てできるようになりました。これは、タスク、質問、アクション、承認に適用されます。

Admin OIDC App Phase Two Tranch One

Admin OIDC App Phase Two Tranch One機能が有効になっていると、Okta Admin Consoleはページの読み込み時にOIDCサインインフローを自動的に開始し、管理者は要求されたページが表示される前に認証ページに一時的にリダイレクトされます。

Sign-In Widget、バージョン7.46.2

このリリースの詳細については、「Sign-In Widgetのリリースノート」を参照してください。ウィジェットの詳細については、「Okta Sign-In Widget」を参照してください。

OINアプリに必要な一意のクライアント認可設定

アプリ統合でクライアント認可の詳細を入力すると、別の統合でその詳細がすでに使用されている場合にエラーが表示されるようになりました。

Amazon Bedrock AgentCore AIエージェントの新しいプロトコルランタイム

Amazon Berock AgentCoreプラットフォームから、標準のHTTPとエージェント間プロトコルの両方のランタイムをインポートできるようになりました。

デフォルトでアクティブなMCPサーバー

新規作成されたMCPサーバーは、デフォルトでアクティブ状態になります。「MCPサーバーを追加する」を参照してください。

AIエージェント管理者ロール

スーパー管理者は、新しいAIエージェント管理者ロールを使用して、AIエージェント管理タスクを委任できるようになりました。このロールを持つ管理者は、AIエージェントの登録、オーナーの割り当て、リソース接続の構成などのタスクを実行できます。「Okta for AI Agentsの管理者ロールを管理する」を参照してください。

AIエージェントの日付範囲フィルター

AIエージェントページで、作成または更新された日時でAIエージェントを管理者がフィルタリングできるように日付範囲フィルターが提供されるようになりました。

Google Vertex AIからAIエージェントをインポートする

Google Vertex AIで構築されたAIエージェントを、Oktaから直接インポートおよび管理できるようになりました。 「AIエージェントのインポート用にGoogle Vertex AIを構成する」を参照してください。

Sign-In Widget、バージョン7.46.3

このリリースの詳細については、「Sign-In Widgetのリリースノート」を参照してください。ウィジェットの詳細については、「Okta Sign-In Widget」を参照してください。

デバイス保証のOSバージョン更新

デバイス保証ポリシーで、次のOSバージョンがサポートされるようになりました。

  • Android 17(2026-06-01)
  • Windows 10ビルド(10.0.17763.8880、10.0.19044.7417、10.0.19045.7417)
  • Windows 11ビルド(10.0.22631.7219、10.0.26100.8655、10.0.26200.8655)
Okta Access Requests WebアプリのUIの更新

Okta Access Requests Webアプリのすべてのリクエスト(All requests)ページでは、リクエスト数が1000件以上の場合、件数の代わりに「999+」と表示されるようになりました。この変更により、ページ上でのリクエスト一覧の表示にかかる時間が短縮されます。

名および姓がnullのAzure Active Directoryユーザーをインポートする

Microsoft Azure Active Directory (AAD)から、名および姓の値がnullのユーザーをインポートできるようになりました。これにより、管理者はOkta内でAADユーザーを一元的に表示できるようになります。「Microsoft Graph APIを使用してOffice 365にユーザーをインポートする」を参照してください。

受信トレイページからの検索フィルターの削除

パフォーマンス向上のため、 Okta Access Requests Webアプリの 受信トレイ(Inbox)ページにある フィルター(Filters)から要求者タイプ(Requestor type)オプションとフォロワー(Follower)オプションが削除されました。

Okta for AI AgentsのUIの更新

AIエージェントのページで、 オーナー(Owner)およびプラットフォーム(プラットフォーム)フィルターが提供されるようになりました。また、 AIエージェントプロバイダーページには、プロバイダーから登録されたAIエージェントの数を表示する 登録済みAIエージェント 列が追加されました。 

スプレー攻撃されたパスワードを使用した疑わしいログイン

この検出は、ユーザーのパスワードがパスワードスプレー攻撃キャンペーンで特定され、そのパスワードを使用してサインインに成功したことを示します。この検知により、ITPはワークフローを通じて、Universal Logoutやパスワードリセットなどの設定済みの修復アクションをトリガーできるようになります。「スプレー攻撃されたパスワードを使用した疑わしいログイン」を参照してください。

この機能は徐々に運用を開始しています。

ボット防御

ボット防御を利用して、orgはIdentity Threat Protection(ITP)ランディングページ内で修復アクションを構成することで、ボットトラフィックを自動的に特定・緩和できます。「ボット防御」を参照してください。

拡張動的ゾーン向けの新しいVPNサービス

VIGOR_SSL_VPNが拡張動的ゾーンの個別のVPNサービスカテゴリーとしてサポートされるようになりました。「サポートされているIPカテゴリー」を参照してください。

AIエージェントの管理者ロールのヘルプリンク

管理者 > ロール(Administrators Roles)タブで、 AIエージェントの管理者ロールにヘルプリンクが表示されるようになりました。 

IDPルーティングルール内のIDPの最大数が増加

IdPルーティングルールで許可されるIdPの最大数が100に引き上げられました。「IDプロバイダーのルーティングルールを構成する」を参照してください。

デバイス保証の高度なポスチャチェック

高度なポスチャチェックにより、管理者はStandardのデバイス保証ポリシーではサポートされていない、より詳細なデバイスのセキュリティ条件を構成できるようになりました。osqueryを使用すると、macOSおよびWindowsデバイスの状態を評価するためのカスタムSQLクエリを作成したり、管理対象外デバイス向けのチェックを構成したり、エンドポイント検知・対応(EDR)ツールと統合したりすることができます。「デバイス保証に高度なポスチャチェックを構成する」を参照してください。

CIAM orgでOkta SSFトランスミッターが利用可能に

OktaではCAEPを使用して、セキュリティ関連のイベントやその他のデータ主体のシグナルをサードパーティセキュリティベンダーに送信します。「Shared Signals Framework」を参照してください。

この機能は、カスタマーアイデンティティおよびアクセス管理(CIAM)のorgで利用できるようになりました。

MFA登録ポリシーバリデーターの改善

過去30日間に自分で開始したuser.account.update_password syslogイベントがないOrgは、Okta Identity Engineへのアップグレード時に表示されるMFA登録ポリシーバリデーターの警告の対象外となり、アップグレードを実施しやすくなりました。

管理対象のChromeプロファイルの閲覧データを消去する

管理対象Chromeプロファイルのブラウズデータの消去は、ITP検出時に管理対象Chromeプロファイル内のローカルセッションデータ(クッキーとキャッシュ)を即座に消去することで、リアルタイムの修復を提供します。ブラウザーをポリシーによって強制されるワークスペースに変換することで、即時に自動保護されるようにします。「管理対象のChromeプロファイルの閲覧データを消去する」を参照してください。

Azure Active Directoryのライセンス未割り当てユーザーをOktaにインポートする

Office 365ライセンスが割り当てられていないユーザーをMicrosoft Azure Active Directory (AAD)からインポートできるようになりました。これにより、管理者は従業員のライフサイクル管理を Okta内で一元化できるようになり、ライセンスが割り当てられていないアカウントを両方のプラットフォームで管理する必要がなくなります。「Microsoft Graph APIを使用してOffice 365にユーザーをインポートする」を参照してください。

Office 365のロール割り当て可能なプッシュグループ

Office 365アプリ統合の新しいプッシュグループを作成する際は、このロールは割り当て可能チェックボックスを選択して、Microsoft Entra IDでグループロールを割り当て可能にします。これにより、Entra IDでグループを手動で作成し、プッシュグループを使用してOktaにリンクする代わりに、OktaグループをMicrosoft Entra ID and assign rolesにプッシュできます。「プッシュグループを構成する」を参照してください。

API Integration Actionsアプリでのグループプッシュのサポート

API Integration Actionsを使用してプロビジョニングを実行するアプリで 、グループプッシュ機能を使用できるようになりました。これにより、プロビジョニングアクションでグループAPIコントラクト を使用するアプリで、グループインポート機能が利用できるようになります。

Native to Web SSO

Native to Web SSOは、ユーザーがOIDCアプリ(ネイティブまたはWebアプリなど)からWebアプリ(OIDCまたはSAMLのいずれか)に移行するときに、シームレスで統合された認証エクスペリエンスを作成します。この機能では、SAMLやOpenID Connectなど、標準のWebベースのフェデレーションプロトコルを使用します。これにより、1回限りの一方向クライアント間信頼SSOトークンを使用して、2つの異なるアプリケーション環境間のギャップを埋めることができます。これにより、すでに提供されているサインオン保証の繰り返しが不要になり、認証の複雑さが軽減されることで、開発が簡略化されます。「Native to Web SSOを構成する」を参照してください。

Active DirectoryのDirSyncによるグループインポート

Active Directory(AD)統合のプロビジョニング(Provisioning)タブに、DirSyncを使用したADによるインポートを有効にする(Enable imports with AD using DirSync)チェックボックスが追加されました。チェックボックスを有効にすると、管理者はDirSyncを使用してグループの増分インポートを実行できます。「Active Directoryのインポートとアカウントの設定を構成する」を参照してください。

AMFA orgのITP検出

Adaptive MFA orgでは、直接割り当てられたスーパー管理者でセッションおよびエンティティユーザーが検出されると、ITP検出のメリットを得られるようになりました。これらの検出イベントは、Workflowsを使用して実行可能です。この機能は、 Okta Secure Identity Commitment に準拠しています。「システムログのIdentity Threat Protectionイベント」を参照してください。

この機能は、Okta for US Militaryのお客様も利用できるようになりました。

Office 365 SSO署名証明書のオンデマンドローテーション

WS-Federationの認証を使用するOffice 365アプリ統合で、アプリレベルの証明書の使用がサポートされるようになりました。orgレベルの証明書からアプリレベルの証明書に切り替えることで、共有されるorgレベルの証明書の有効期限切れによる単一障害点を排除でき、セキュリティを強化できます。UIの更新により、IT管理者は証明書のステータスを容易に監視し、必要に応じて証明書を生成し、運用を中断することなく証明書のローテーションを実行できるようになります。「Office 365向けにシングルサインオンを構成する」を参照してください。

早期アクセス

エージェント間接続

エージェント間のサーバー接続により、管理者はAIエージェントを他のAIエージェントに接続できます。管理者はスコープを管理して、適切なAIエージェントタスクへのアクセスを制限し、サービスアプリがユーザーコンテキストなしでAIエージェントを呼び出せるようにできます。管理者は、トークンとSystem Logを使用して、すべてのユーザー、 AIエージェント、およびAIエージェントを呼び出すアプリを表示できます。「エージェント間接続」を参照してください。

セルフサービス機能としてのCross App Accessの削除

Admin Consoleの設定(Settings) > 機能(Features)ページの早期アクセス(Early Access)セクションで、 Cross App Access機能を有効または無効にすることができなくなりました。orgでのこの機能の利用可否を変更する場合は、 Oktaサポートまでお問い合わせください。Integrator無料プランorgをお持ちの場合は、代わりに 開発者サポートまでお問い合わせください。この変更は、既存の構成には影響しません。

パスキー指標の追跡

この機能強化により、パスキーのパフォーマンスをより可視化するための追跡機能とレポートツールが追加されます。これにより、管理者がすべてのorgでパスワードレスの採用と使用の傾向を監視できるようになります。

管理者ロールの割り当てにおける監査モード

新しい監査者(読み取り専用)モードにより、スーパー管理者は、任意の管理者またはグループ管理者の割り当てに読み取り専用の制限を適用できるようになりました。この設定により、管理者は、Oktaファーストパーティアプリを除き、 Admin ConsoleとOkta API全体で読み取り専用アクセスに制限されます。この機能は、セキュリティの透明性を維持しながら、監査人にシステムの可視性を提供します。「監査人(読み取り専用)モード」を参照してください。

修正事項

  • 言語ローカライズされているorgのエンドユーザー設定(End-User Settings)ページで、エラーメッセージのコロンの前のノーブレークスペースがありませんでした。(OKTA-1113766)

  • Okta Verifyのエラーにより、一部のユーザーが、高度なポスチャチェック機能が有効になっているorgにサインインできませんでした。エラーはSystem Logに記録されませんでした。(OKTA-1120412)

  • アクセステストツールが、テスト対象のIPアドレスが許可ゾーン内にあるにもかかわらず、ユーザーのサインインイベントがグローバルセッションポリシーのネットワークゾーンルールによって拒否されたと誤って報告していました。(OKTA-1130892)

  • ユーザーがグループ経由でSAMLアプリに割り当てられている場合、Oktaにサインインした後にアプリにアクセスできないことがありました。(OKTA-1140346)

  • Sign-In WidgetでのOkta Verify番号チャレンジのテキストサイズが小さすぎました。(OKTA-1140583)

  • マイ設定(My Settings)のOktaロゴの代替テキストが不正確でした。(OKTA-1164454)

  • マイ設定(My Settings)で、サポート(Support)セクションの見出しレベルに誤りがありました。(OKTA-1164459)

  • マイ設定(My Settings)において、画面幅が狭い場合に 最近のアクティビティ(Recent Activity)のドロワーがリサイズされず、トラックパッドやスクロールバーがないと閉じるボタンを操作できませんでした。(OKTA-1164494)

  • 延期登録ポリシーでパスワードのみが登録されているユーザーが、2要素認証を必要とするアプリにアクセスしようとすると、エラーが表示されていました。(OKTA-1174736)

  • アプリがスコープを要求した際、スコープ名の一部が別のスコープ名のプレフィックスになっていると、Sign-In Widget(第2世代)が読み込まれませんでした。(OKTA-1174752)

  • 管理者が、 AIエージェントリソース接続で使用されていたカスタム認可サーバーを削除できてしまっていました。(OKTA-1182513)

  • 統合エージェントのダッシュボードのDirSync準備状況の警告バナーに、古いステータス情報が表示されていました。(OKTA-1185146)

  • 管理者がアクセステストツールで、スマートカードAuthenticatorを登録しているユーザーのアクセスをテストすると、Authenticatorで登録(Enrolled in authenticators)の結果にエラーメッセージが表示される問題がありました。(OKTA-1186554)

  • Okta Expression Language バージョン3ルールを評価する際、 contains関数がカスタム整数配列の属性または数値配列属性の評価に失敗していました。(OKTA-1194797)

  • ユーザーがプロファイルの編集を開始した後に管理者が読み取り専用のプロファイル属性を変更すると、ユーザーがプロファイルの変更を保存しようとした際にエラーメッセージが表示されていました。(OKTA-1201181)

  • ユーザーがOkta Verifyに複数の認証要素を登録している場合、有効な猶予期間のカウントが、本来はAuthenticator単位で行われるべきところ、要素ごとに誤って増分されていました。(OKTA-1209603)

  • ユーザーがアプリの追加(Add apps)ダイアログの追加ボタンを複数回クリックすると、ダイアログがフリーズし、ページを更新するまでダイアログを閉じたり完了(Done)を選択したりすることができなくなっていました。(OKTA-1211432)

Okta Integration Network