Okta Identity Engineリリースノート(本番)

バージョン:2025.08.0

2025年8月

一般提供

デバイス保証のOSバージョンアップデート

デバイス保証ポリシーで、次のOSバージョンがサポートされるようになりました。

  • iOS(18.6)
  • macOS(13.7.7、14.7.7、15.6)

Sign-In Widget 7.34.0

このリリースの詳細については、「Sign-In Widgetのリリースノート」を参照してください。ウィジェットの詳細については、「Okta Sign-In Widget」を参照してください。

Okta On-Prem MFAエージェント、バージョン1.8.5

このバージョンには、セキュリティ強化が含まれます。

新しいパスワード有効期限メッセージ

侵害された資格情報の保護機能では、パスワードの有効期限が切れたユーザーにより直感的なエラーメッセージが表示されるようになりました。

Okta Provisioning Agent、バージョン3.0.2

Okta Provisioning Agent 3.0.2が利用可能になりました。このリリースでのOkta Provisioning Agentは、認可用のOAuth 2.0、およびOAuth 2.0 Demonstrating Proof-of-Possession(DPoP)を使用して、Oktaと安全に通信するようになりました。エージェントはOAuth 2.0デバイス登録フローから登録され、エージェントの登録に使用されたアカウントから独立して動作するようになりました。また、このリリースではUTC時刻をタイムスタンプmeta.lastModifiedのデフォルトとして使用し、セキュリティ強化とバグ修正が含まれています。「Okta Provisioning AgentとSDKのバージョン履歴」を参照してください。

AMFA orgのITP検出

Adaptive MFA orgでは、直接割り当てられたスーパー管理者でセッションおよびエンティティユーザーが検出されると、ITP検出のメリットを得られるようになりました。これらの検出イベントは、Workflowsを使用して実行可能です。この機能は、[Okta Secure Identity Commitment](https://www.okta.com/secure-identity-commitment)に準拠しています。「システムログのIdentity Threat Protectionイベント」を参照してください。この機能は、FedRAMP Moderateのお客様が利用できるようになりました。

Okta Active Directory Agent、バージョン3.21.0

このリリースには、一般的な機能強化、ブランドの更新、バグ修正が含まれています。「Okta Active Directory Agentのバージョン履歴」を参照してください。

エクスプレス構成でOINアプリのSCIM統合を自動化

エクスプレス構成は、エンタープライズのお客様によるOIN SaaS統合のインスタンス向けにSSOとSCIMのセットアップを最小限の手作業で自動化するよう設計された機能です。これにより、エンタープライズのお客様はOktaアプリとAuth0対応アプリの間で構成値をコピー・貼り付けることなく、OIDCとSCIMの統合を安全に構成することができます。「エクスプレス構成でアプリを追加する」を参照してください。

自動ローテーションによるOrg2OrgのOAuth 2.0プロビジョニング

複数orgアーキテクチャ(Oktaハブアンドスポークorgなど)をデプロイする管理者は、ユーザーとグループのプロビジョニングを保護する必要があります。OAuth 2.0スコープのトークンを使用したプロビジョニングには、より詳細なアクセス権限の設定、トークンの短い有効期間、キーの自動ローテーションなど、APIトークンに比べていくつかの利点があります。Admin Consoleから直接、Org2OrgアプリのプロビジョニングにOAuth 2.0の自動ローテーションを有効化できるようになりました。

Okta Org2OrgをOktaと統合する」を参照してください。

カスタムユーザー属性のデフォルト値を定義する

管理者がユーザープロファイル内のカスタム属性のデフォルト値を定義できるようになりました。カスタム属性を一意に設定すると、デフォルト値は自動的にnull(空の文字列とは異なる)に設定されます。「Oktaユーザープロファイルにカスタム属性を追加する」をご覧ください。

パートナー管理者ポータルでのグループ更新

パートナー管理者ポータルでは、1ページに表示されるグループの数が10個ではなく最大20個になりました。さらに、検索クエリに少なくとも3文字があり、「次を含む」の検索機能がオンになっている場合、システムでは、グループリストで次から開始の検索ではなく、次を含むの検索が使用されます。

Okta Expression Languageでのuser.getGroups()関数使用の拡張

管理者は、Expression Languageをサポートするすべての機能でuser.getGroups()関数を使用できるようになりました。詳細については、「グループ関数」を参照してください。

CSVインポートの自動確認

Identity Governanceが有効化され、管理者がエンタイトルメントでCSVインポートを使用する場合、メールが完全に一致すると自動確認が有効になります。

Identity Governanceユーザーエンタイトルメントのインポート制限を引き上げ

CSVからインポートできるユーザーエンタイトルメントの最大数が25,000に増えました。 「CSVからユーザーエンタイトルメントをインポートする」を参照してください。

本人確認イベント用の新しいシステムログイベント

新しいシステムログイベントuser.identity_verification.startは、本人確認フローが開始されるとトリガーされます。本人確認プロセスの関連イベントの参照IDが含まれており、このプロセスの開始を引き起こした操作を示します。「本人確認ベンダーをIDプロバイダーとして追加する」を参照してください。

ライセンスグループUIの改善

ユーザーとグループの割り当てタブで、[プライマリライセンス]の下にMicrosoft O365ライセンスがグループ化されるようになりました。ライセンスは折りたたみドロップダウンメニューとして表示され、プライマリライセンス名のみが表示されます。ドロップダウンメニューを展開すると、その下にあるすべてのサブライセンスが表示されます。

システムログでMFAの放棄を追跡する

user.authentication.auth_via_mfaイベントを使用して、システムログで放棄されたMFA試行を監視できるようになりました。イベント結果に2つのステータスが追加されました。

  • 未回答:MFAプロンプトは放棄されたが、ユーザーは最終的に別のAuthenticatorを使用してサインインした。
  • 放棄:MFAプロンプトは放棄され、ユーザーはサインインできなかった。

システムログでMFAの放棄を追跡する」を参照してください。

プロファイル同期プロビジョニングの新しいカスタム属性

プロファイル同期プロビジョニングで、Office 365のカスタム属性がいくつかサポートされるようになりました。「Office 365のプロビジョニングに対応しているユーザープロファイル属性」を参照してください。

OIDCアプリのカスタムプロファイル属性

管理者は、JSON形式でOIDCアプリにカスタムプロファイル属性を追加できるようになりました。「OIDCアプリのプロファイル属性を構成する」を参照してください。

OINウィザードでのUniversal Logout

Okta Integration NetworkウィザードでUniversal Logout(UL)を使用すると、UL機能の構築やテスト、 Okta Integration Network(OIN)への送信を行うことができます。ULは、ユーザーのセッションを終了して、サポート対象のOINアプリ、汎用のOpenID Connect(OIDC)アプリ、Security Assertion Markup Language(SAML)アプリのトークンを無効化できるようにします。

「サインインしたままにする」の詳細構成

管理者は、認証ポリシーの詳細レベルで、[Keep Me Signed In (KMSI)(サインインしたままにする(KMSI))]用の認証後プロンプトを構成できるようになりました。これにより、管理者はユーザーごと、グループごと、またはアプリごとに認証後のKMSIを選択的に有効化することができます。この機能を有効化すると、認証後のプロンプトをユーザーに表示する頻度を管理者が制御できる設定が公開されます。「サインインしたままにする」を参照してください。認証後のプロンプトテキスト(タイトル、サブタイトル、承諾ボタン、拒否ボタン)は、ブランド管理 APIを通じてカスタマイズできるようになりました。「サインインしたままにする」および「Brands API」を参照してください。

Webアプリ統合で認可コードフローの使用が必須

セキュリティを強化するために、Webアプリ統合では認可コードフローの使用が必須になり、暗黙フローは推奨されなくなりました。「シングルサインオン(SSO)統合の構築」を参照してください。

早期アクセス

PDF形式でのOkta Identity Governanceレポートのエクスポート

Okta Identity GovernanceレポートをPDFにエクスポートできるようになりました。エクスポート時に、レポートに含める特定の列を選択することもできます。

Androidデバイスのパスキー

OktaではAndroidデバイスが生成するパスキーを受け入れるようになりました。これらのパスキーを信頼できるWebドメインに関連付け、ユーザーがそのパスキーを使用して認証できるようにします。これにより、Oktaでパスキーの使用をサポートするデバイスタイプの数が増えます。「FIDO2(WebAuthn)Authenticatorを構成する」を参照してください。

カスタムFIDO2 AAGUID

お客様は、FIDOメタデータサービス(MDS)以外のセキュリティキーや他のAuthenticatorを追加して、それらをより詳細に制御できます。これにより、FIDO2(WebAuthn)Authenticatorのサポートが幅広いセキュリティキーや他のAuthenticatorに拡張され、お客様が環境内のセキュリティをより柔軟に制御できるようになります。

Oracle Human Capital Managementのプロビジョニング

Oracle Human Capital Managementアプリの統合でプロビジョニングが利用できるようになりました。アプリのプロビジョニングでは、エンタイトルメント管理やPrivileged Accessなどのセキュリティ機能を有効にできます。「Oracle Human Capital Management」を参照してください。

一時アクセスコードAuthenticator

一時アクセスコード(TAC)Authenticatorを使用すると、管理者は、オンボーディング、アカウント復旧、およびその他の一時アクセスシナリオでユーザーを認証するための一時的なコードを生成できます。このAuthenticatorは、通常のAuthenticatorを使用せずにorgへのユーザーアクセスを付与することで、このようなシナリオでのセキュリティを強化します。「一時アクセスコードauthenticatorを構成する」を参照してください。

関連ドメイン

関連ドメインを利用することで、アプリ、参照ドメイン、そのドメインに関連付けられるユーザーの資格情報、Okta内の自社ブランドの間に信頼関係を構築できます。この機能により、FIDO2 (WebAuthn) authenticatorのパスキーなどのフィッシング耐性のあるAuthenticatorを簡単に採用できます。「関連ドメインを構成する」を参照してください。

IDアサーション認可付与(ID-JAG)発行のシステムログイベント

app.oauth2.token.grant.id_jagイベントは、アプリがOAuth 2.0トークン交換を完了し、IDアサーション認可付与(ID-JAG)JWTを取得する際に生成されます。

カスタムアプリ向けの統合クレーム生成

統合クレーム生成は、Oktaで保護されたカスタムアプリ統合のクレーム(OIDC)および属性ステートメント(SAML)を管理するための、合理化された新しいインターフェイスです。グループクレームやユーザープロファイルクレームに加えて、新しいクレームタイプ「エンタイトルメント」(OIGが必要)、「デバイスプロファイル」「セッションID」「セッションAMR」「アプリ統合にカスタムクレームを構成する」を参照してください。

Governance代理人

スーパー管理者とユーザーは、別のユーザーを代理人として割り当て、そのGovernanceタスクを完了できます。Governanceタスクには、アクセス認定キャンペーンのレビューアイテム、およびアクセスリクエストの承認や質問、その他のタスクが含まれます。代理人を指定すると、今後のすべてのGovernanceタスク(アクセスリクエストの承認やアクセス認定のレビュー)が、元の承認者またはレビュアーではなく代理人に割り当てられます。これにより、承認者が対応不可の場合や、タスクを長期間別の関係者に再ルーティングする必要がある場合にGovernanceプロセスが停止しないようにできます。また、リクエストやレビューを手動で再割り当てする時間も短縮されます。「Governance代理人」を参照してください。

複数のアクティブなIdP署名証明書

Oktaでは、単一のSAML IDプロバイダー(IdP)のアクティブな署名証明書を複数サポートするようになり、ダウンタイムなしでシームレスに証明書をローテーションできるようになりました。管理者はIdP接続毎に最大2枚の証明書をアップロードできます。この改善により、IdPパートナーと緊密に連携された交換を行う必要がなくなり、証明書の有効期限切れによる認証失敗のリスクが低減されます。この機能は、Admin ConsoleとIdP Certificates APIの両方で利用できます。

デバイスシグナル収集ポリシー

新しいデバイスシグナル収集ポリシーを使用すると、管理者はOktaのデフォルト動作を上書きし、Oktaがデバイスデータを収集する方法を指定して、それを認証ポリシーの評価で使用できます。「デバイスシグナル収集ルールを作成する」を参照してください。

OIDC IDトークンのJSON Web暗号化

Oktaで保護されたカスタムアプリ統合のOIDC IDトークンを、JSON Web暗号化を使用して暗号化できるようになりました。「アプリ統合用のOIDC IDトークンを暗号化する」を参照してください。

Oktaファーストパーティアプリのアプリスイッチャー

End-User Dashboard、Admin Console、Workflowsコンソールにアプリスイッチャーが追加され、管理者は割り当てられたOktaアプリ間をすばやく移動できるようになりました。アプリスイッチャーを表示するには、Okta Admin Consoleの統一された外観と操作性Okta Dashboardの統一された外観と操作性の早期アクセス機能を有効にする必要があります。

デバイスログアウト

デバイスログアウトを使用すると、管理者はDesktop MFAで保護されているデバイスからユーザーをサインアウトさせることができます。管理者は、ユーザーのリスクプロファイルからデバイスサインアウトを実行できます。orgにIdentity Threat Protection with Okta AIが導入されている場合は、サインアウトアクションを自動的にトリガーするエンティティリスクポリシーを構成できます。ユーザーが非アクティブ化または一時停止されている場合、OktaはDesktop MFAで保護されているすべてのデバイスからそのユーザーを自動的にサインアウトさせます。「ユーザーをデバイスからサインアウトさせる」を参照してください。

Cross App Access

管理者は、Okta Admin Consoleで新しいCross App Access機能を使用して、サードパーティアプリのデータ共有を管理できるようになりました。この機能により、複雑な同意プロセスがエンドユーザーからなくなり、セキュリティが強化され、エクスペリエンスが合理化されます。構成が完了すると、エンドユーザーはOAuthの同意フローに進まずに他のSaaSアプリから自身のデータにアクセスできます。「Cross App Accessを構成する」を参照してください。

修正事項

  • 管理者がOkta Provisioning Agentを使用して増分インポートを実行した場合、last.modifiedタイムスタンプが想定されたUTCではなくローカルタイムゾーンにありました。(OKTA-908307)

  • 同一のアプリにアクティブなインスタンスがある場合でも、管理者はそのアプリをリアクティベートできない場合がありました。(OKTA-944775)

  • レビュアーがレビューアイテムを承認または取り消した後、campaignItemRemediationStatusシステムログイベントの値に誤ってNONEが表示されていました。(OKTA-950851)

  • グループリソースから条件が削除された場合、リソースセットを割り当てられた管理者はグループを追加できませんでした。(OKTA-961708)

  • Oktaへの登録時に、特定のアクセス制御設定を持つorgのユーザーに正しくないAuthenticatorが表示されていました。(OKTA-963136)

  • 猶予期間が許可されているorgでユーザーが[後で通知]オプションを選択してアプリにアクセスすると、エラーが表示されることがありました。(OKTA-964324)

  • ユーザーがClassic Engineにサインイン後アプリにアクセスした場合、そのセッションが、Identity Engineにサインインしてアプリにアクセスすると上書きされていました。(OKTA-968179)

  • パートナー管理者ポータルで、一部のページの読み込みまたは更新に想定以上の時間がかかりました。(OKTA-976067)

  • ロールを編集ページの[ロールの説明]フィールドに、[ロール名]の値が表示されていました。(OKTA-984100)

  • 侵害された資格情報の保護機能が有効になっているorgでは、一部のユーザーに正しくないパスワード有効期限が表示されていました。(OKTA-984104)

  • 管理者がグループをアプリに割り当てた場合、その結果のシステムログイベントが未完了でした。(OKTA-985709)

  • パートナー管理者ポータルで特定のユーザーのユーザー属性を編集するページにアクセスした際に、列挙型配列のプロパティがユーザースキーマにあるが、ユーザープロファイルには存在しない場合、画面にフォームが表示されませんでした。(OKTA-986528)

週次のアップデート

2025.8.1:アップデート1は8月18日にデプロイメントを開始しました

一般提供

デバイス保証のOSバージョンアップデート

デバイス保証ポリシーで、次のOSバージョンがサポートされるようになりました。

  • Android 13、14、15、16セキュリティパッチ2025-08-01

PDF形式でのOkta Identity Governanceレポートのエクスポート

Okta Identity GovernanceレポートをPDFにエクスポートできるようになりました。エクスポート時に、レポートに含める特定の列を選択することもできます。

早期アクセス

Windows向けDesktop MFAの復旧

このリリースでは、WindowsでのDesktop MFA機能が強化され、管理者が支援する復旧パスが含まれています。ユーザーがWindowsデバイスからロックアウトされた場合、管理者は時間ベースの復旧PINを発行できるようになりました。これにより、ユーザーはプライマリMFAデバイスを必要とせずにコンピューターに一時的にアクセスでき、Authenticatorの問題を解決して正常にサインインできるようになります。「WindowsにDesktop MFAの復旧を有効にする」を参照してください。

修正事項

  • 管理者が、自身のアクセスリクエストの承認者として自分を割り当てる場合がありました。

  • 管理者がリソースセットを編集したときに、イベントが管理者ページの[管理者の変更]セクションに表示されませんでした。(OKTA-817804)

  • 管理者が、カスタマイズされたサインインページとエラーページを公開できなかったため、一部のユーザーには、公開済みのカスタマイズされたページの代わりにデフォルトのサインインページとエラーページが表示されていました。(OKTA-838267)

  • 既存のOIDCアプリに新しいサインインリダイレクトURIの追加を試みると、エラーが断続的に返されました。(OKTA-892769)

  • ADおよびLDAPエージェントのアップグレードに関する通知メールに、更新済みエージェントのセクションが含まれていました(セクションが存在しない場合)。(OKTA-958346)

  • 顧客提供の証明書がOktaが管理する証明書に移行されていませんでした。(OKTA-959003)

  • ドメインをカスタマイズする権限を持つカスタム管理者に、ブランドページの[ドメイン]タブに[編集]メニュー項目が表示されませんでした。(OKTA-974191)

  • 3つ以上のAuthenticatorに登録されていて、orgで復旧のユーザー列挙防止とOktaアカウント管理ポリシーが有効になっている場合、一部のユーザーはパスワードをリセットできませんでした。(OKTA-981374)

  • アプリサインインタイルが、認証ポリシーページ上の他のタイルよりも小さくなっていました。(OKTA-987744)

  • パートナー管理者ポータルで、ユーザー属性の編集ページのenum配列フィールドがユーザーのプロファイルから初期値の読み込みに失敗していました。(OKTA-988096)

  • LDAPインスタンスが非アクティブ化または再アクティブ化された場合に、関連するLDAPエージェントで現在の状態が維持されていました。(OKTA-990260)

  • LDAPインターフェイスアプリが要求者の元のIPアドレスではなくOkta IPアドレスを表示していたため、認証が失敗していました。(OKTA-991371)

  • パートナー管理者ポータルで、ページのメインコンテンツの前にサイドナビゲーションテキストが読み込まれていました。これにより、ユーザーの認証が完了する前にテキストが流れ出るような視覚的な問題が生じていました。(OKTA-991510)

  • 早期アクセス機能[Unified claims generation for Okta-protected SAML and OIDC custom app integrations(Oktaで保護されたSAMLおよびOIDCカスタムアプリ統合の統合クレーム生成)]を有効にした一部のユーザーが、アプリ統合にカスタムクレームを追加しようとすると、エラーが表示されていました。(OKTA-997102)

  • スーパー管理者がカスタムOTP Authenticatorを構成しようとするとエラーメッセージが表示され、[Authenticators]ページにAuthenticatorが表示されませんでした。(OKTA-997916)

Okta Integration Network

  • Prowler(Prowler SaaS)に新しい表示名があります。

  • Ethosに新しいリダイレクトURIがあります。

  • Prowler Cloud(SAML)が利用可能になりました。詳細を確認してください

  • 1VALETが更新されました。

  • Adobe Enterprise(SWA)が更新されました。

  • Adobe(SWA)が更新されました。

  • Apple store for Business(SWA)が更新されました。

  • Paycor(SWA)が更新されました

  • National Car Rental(SWA)が更新されました。

  • Marriott Hotels(SWA)が更新されました。

  • Desanaに新しいアイコンがあります。

  • 新しいリダイレクトURIとアイコンによるコンソールの更新(OIDC)。詳細を確認してください

  • FORAが更新されました。

  • Approveit(SAML)が利用可能になりました。詳細を確認してください

  • Bing Webmaster(SWA)が更新されました。

  • Reward Builderが利用可能になりました。詳細を確認してください

  • Staircase AI(SCIM)でEU地域がサポートされるようになりました。

2025.8.2:アップデート2は8月25日にデプロイメントを開始しました

修正事項

  • アプリを削除した際に、グループプッシュルールは削除されず、誤ったシステムログエントリがトリガーされることがありました。この修正は、すべてのorgで段階的に利用できるようになります。(OKTA-881642)

  • このアップデートにはセキュリティ強化が含まれています。(OKTA-945597)

  • レート制限の超過が原因でグループプッシュが失敗した場合に、システムログイベントにエラーではなく成功と記録されていました。(OKTA-952427)

  • Authenticator登録ポリシーで、管理者が電話Authenticatorの猶予期間の期日を選択しようとすると、電話番号が入力された自動入力ポップアップが表示されていました。(OKTA-963746)

  • 一部のユーザーがユーザー名を送信してサインインすると、エラーが表示されていました。(OKTA-963933)

  • 削除のAPI呼び出しが成功した後もアプリグループが完全に削除されず、引き続きIDで見つけることができました。この修正は、すべてのorgで段階的に利用できるようになります。(OKTA-972614)

  • 多要素認証(MFA)またはAdaptive MFAが有効になっていないorgでは、管理者が[ユーザー操作を要求する]オプションをクリアした後も、認証ポリシールールで選択されたままになっていました。(OKTA-972708)

  • ドメインをカスタマイズする権限を持つカスタム管理者に、ブランドページの[ドメイン]タブに[編集]メニュー項目が表示されませんでした。(OKTA-974191)

  • 一部のカスタム管理者ロールは、認証ポリシーとデバイスシグナル収集ポリシーに対する権限が異なっていて、これらにアクセスできませんでした。(OKTA-982043)

  • 管理者が、ADまたはLDAPでも同時にプロビジョニングされているユーザーのパスワードリセットをトリガーすると、ユーザーのステータスが破棄されました。この修正は、すべてのorgで段階的に利用できるようになります。(OKTA-982286)

  • システムログイベントPolicyRuleChangeDetailsがUIスキーマイベントを追跡していませんでした。(OKTA-984139)

  • カスタム管理者ロールを持つOkta管理者が、[アクティブ化]ボタンがないためユーザーの一時停止を解除できませんでした。(OKTA-986984)

  • IdPに複数の署名証明書が構成されていて証明書が無効な場合、検証に失敗した証明書に関する情報がシステムログに表示されませんでした。(OKTA-987881)

  • ユーザーが提供したパスワードが、Oktaが受け入れる構成済み強度要件を満たしていない場合がありました。(OKTA-988423)

  • Admin Consoleのユーザーページで、一時停止ステータスが誤って非アクティブに分類されていました。(OKTA-990078)

  • 一部のユーザーが外部IdPからサインインを試みると、エラーが発生していました。(OKTA-993126)

  • エンドユーザー設定2.0ページに、パスワードを登録できないにもかかわらず、パスワードAuthenticatorの[セットアップ]ボタンが表示されていました。(OKTA-997943)

  • カスタムSMTPサーバーが構成されているorgからのメールを送信できませんでした。(OKTA-1003170)

Okta Integration Network

バージョン:2025.07.0

2025年7月

一般提供

Sign-In Widget、バージョン7.33.0

このリリースの詳細については、「Sign-In Widgetのリリースノート」を参照してください。ウィジェットの詳細については、「Okta Sign-In Widget」を参照してください。

リリースノートが日本語で閲覧可能

Okta Identity Engineのリリースノートが、リリースごとに日本語に翻訳されるようになりました。翻訳は、英語版の公表から1週間以内に公開されます。

Okta Provisioning Agent、バージョン2.3.1

本リリースには、セキュリティ強化が含まれています。「Okta Provisioning AgentとSDKのバージョン履歴」を参照してください。

エンドユーザー設定のセキュリティ強化

エンドユーザー設定バージョン2.0では、新しいアクセストークンを付与する前にポリシー評価を実行するようになりました。

Okta Hyperdriveエージェント、バージョン1.5.1

このバージョンには、セキュリティ強化が含まれます。

WS-Fed SSOにおける証明書ベースの認証に対する証明書の自動登録

WS-Fed SSOリクエストの証明書ベースの認証に証明書の自動登録がサポートされるようになりました。ユーザーはスマートカードをセットアップせずにスマートカードやPIVカードで認証し、WindowsデバイスやOffice 365アプリにシームレスにアクセスできます。

クレーム共有の強化

Identity Engine org間のクレーム共有で、認証方法チェーンを含む、認証ポリシーとグローバルセッションポリシーのルールを含められるようになりました。この機能拡張により、管理者がorg間シナリオで認証を設計する際の柔軟性が高まります。「SAML IDプロバイダーを追加する」を参照してください。

Okta LDAPエージェント、バージョン5.24.0

このバージョンのエージェントには以下が含まれています。

  • 構成ファイルが暗号化されるようになりました。
  • ローカルLDAPエージェント構成ファイルの予期せぬ変更を監視します。
  • インストールの問題のデバッグを支援するためにinstall.logが作成されました。
  • セキュリティの強化

高度なポスチャチェックの機能強化

管理者が高度なポスチャチェックを構成して、デバイス保証ポリシーのチェックボックスまたはテキストボックスとして表示できるようになりました。

Google Workspaceの改善

Google Workspaceアプリ統合のパフォーマンスを向上させるために、次の変更が加えられました。

  • グループ関連のエラー処理を強化
  • グループのインポートが無効な場合、インポート時に重複するグループ作成の削除

Okta MFA Credential Provider for Windows

本リリースには、バグ修正とセキュリティ強化が含まれています。

管理者が開始するセキュリティ方式の新しいラベル

[自分の設定]>[セキュリティ方式]ページで、管理者が開始するセキュリティ方式に[管理者によって登録]ラベルが表示されるようになりました。

本人確認のための名前マッピング

管理者は、本人確認(IDV)ベンダーに検証クレームを送信する際に、希望する氏名と正式な氏名の両方の属性をマッピングできるようになりました。これにより、検証の精度が向上し、管理者はベンダーに送信される属性を制御できます。

ユーザー権限作成の条件

カスタム管理者ロールの[Create user(ユーザーの作成)]権限に条件を追加できるようになりました。これにより、ユーザー作成中に管理者が値を設定できるユーザー属性を詳細に制御できます。「権限条件」を参照してください。

デフォルトの除外IPゾーンによるASNバインディングの迂回

ASNバインディング機能は、管理者と管理者のサインイン元のIPアドレスを関連付けます。セッション中にIPが変更された場合、管理者はOktaからサインアウトされ、システムログにイベントが表示されます。IPとASNのバインディンをバイパスするには、クライアントIPをデフォルトの除外IPゾーンに追加できます。「IP除外ゾーン」を参照してください。

新しい本人確認プロバイダーの追加

Oktaでは、IDプロバイダーとしてIncodeとCLEAR Verifiedの使用をサポートするようになりました。これにより、ユーザーがオンボードやアカウントのリセットを行うときに、ユーザーのアイデンティティ検証に使用できる本人確認ベンダー(IDV)の数が増えます。「本人確認ベンダーをIDプロバイダーとして追加する」を参照してください。

OINウィザードのユーザープロファイル属性に関する新しい検証ルール

OINウィザードでは、EL式で属性値を参照するときに、有効なユーザープロファイルプロパティーを使用する必要があります。システムは、許可リストに含まれていない無効なユーザーEL式と属性を拒否します。「属性ステートメントを定義する」を参照してください。

外部パートナー向けのSecure Partner Access

Secure Partner Accessは、外部のビジネスパートナーがorgのリソースに安全にアクセスできるようにします。パートナー管理タスクの効率化やITの作業負荷を軽減する他にも、orgのセキュリティ要件を構成するプロセスが簡素化されます。「Secure Partner Accessを管理する」を参照してください。

Office 365向けの証明書ベースの認証

Okta Identity EngineがWS-Fed SSOリクエストに対して、証明書ベースの認証をサポートするようになりました。ユーザーはスマートカードやPIV カードで認証し、WindowsデバイスやOffice 365アプリにシームレスにアクセスできます。

サブスクリプションを管理のボタンを削除

設定ページから、サブスクリプションを管理のボタンを削除しました。

Admin Consoleの新しい外観と操作性

Admin Consoleでは、サイドとトップのナビゲーションメニューの再設計やグレー背景の追加など、新しい外観と操作性を提供するようになりました。

End-User Dashboardの新しい外観と操作性

End-User Dashboardでは、サイドとトップのナビゲーションメニューの再設計やグレー背景の追加など、新しい外観と操作性を提供するようになりました。

Admin Consoleへのアクセスを制限

管理者ロールが割り当てられたユーザーとグループは、デフォルトでAdmin Consoleアプリにアクセスできます。この機能を使用すると、スーパー管理者は代理管理者にアプリを手動で割り当てることを選択できます。これは、ビジネスパートナーなどアクセスの必要がない管理者やサードパーティの管理者、またはOkta APIのみを使用する管理者を有するorgに推奨されます。「管理者設定を構成する」を参照してください。

早期アクセス

OIDCトークンエンドポイントのネットワーク制限はプレビュー内のEAです

OIDCトークンのエンドポイントにネットワーク制限を適用して、トークンのセキュリティを強化できるようになりました。「OpenID Connectアプリ統合を作成する」を参照してください。

Okta統合IdPタイプはプレビュー内のEAです

Okta統合IdPを使用すると、Okta orgを外部IdPとして使用でき、構成を簡素化して安全なデフォルトを提供できます。「Okta統合IDプロバイダーを追加する」を参照してください。

Universal Directoryマップのトグル

新しいUniversal Directory (UD)マップのトグルを使用すると、管理者はユーザーのメールアドレスをユーザーIDにリンクできます。これにより、管理者はセルフサービス登録機能を有効化できます。「一般的なセキュリティ」を参照してください。

パスワード有効期限フローのOAMP保護

この機能により、Okta Account Managementポリシーでパスワード有効期限フローを保護すると、顧客orgのセキュリティポスチャが改善されます。パスワード有効期限フローには、orgのOkta Account Managementポリシーに定義された保証が必要になりました。「パスワードの有効期限を有効化する」を参照してください。

Identity Governance管理者アプリのMFAを強制適用する

Identity Governance管理者アプリのMFAの強制適用は、セルフサービスの早期アクセス機能として利用することはできなくなりました。この機能を有効または無効にするときは、管理者はOktaサポートに問い合わせる必要があります。「Admin ConsoleのMFAを有効にする」を参照してください。

LDAPでプロビジョニングされたユーザーのOUの移動

管理者がOktaをLDAPプロビジョニング設定に構成するときに、グループ割り当てを変更することでユーザーを別の組織単位(OU)に移動できるようになりました。「OktaをLDAPプロビジョニング設定に構成する」を参照してください。

Okta Hyperspaceエージェント、バージョン1.5.1

このバージョンには、セキュリティ強化が含まれます。

LDAPエージェント構成ファイルの変更をモニタリングするためのシステムログイベント

LDAP エージェントが構成ファイルの変更を検出すると、system.agent.ldap.config_change_detectedイベントが生成されます。

Oracle EBS用On-prem Connector

Oracle EBS用On-prem Connectorは、Oracle EBSオンプレミスアプリをOkta Identity Governanceに接続します。これにより、管理者はOktaで直接Oracle EBSエンタイトルメントを検出、表示、管理できます。この統合により、セキュリティの強化、時間の節約、権限管理の合理化ができて、カスタム統合の必要性がなくなります。「Oracle EBS用On-prem Connector」と「On-prem Connectorでサポートされるエンタイトルメント」を参照してください。

Oktaとデバイスポスチャープロバイダーの統合

デバイスポスチャープロバイダー機能は、外部デバイスのコンプライアンス信号をOktaポリシーエンジンに統合することで、ゼロトラストセキュリティを強化します。今まで、Oktaではサードパーティツールやカスタムツールからのシグナルを活用してアクセスポリシーを適用できませんでした。今後、外部コンプライアンスサービスからのSAML/ OIDCアサーションを受け入れることで、管理者はカスタムコンプライアンス属性をデバイス保証ポリシーに組み込むことができるようになりました。これにより、組織はOkta内で既存のデバイスの信頼信号を活用し、追加のエージェントや冗長なツールを使用することなく、より柔軟で安全なポスチャを促進できます。「Oktaとデバイスポスチャプロバイダーを統合する」を参照してください。

Oracle Human Capital Managementのプロビジョニング

Oracle Human Capital Managementアプリの統合でプロビジョニングが利用できるようになりました。アプリのプロビジョニングでは、エンタイトルメント管理やPrivileged Accessなどのセキュリティ機能を有効にできます。「Oracle Human Capital Management」を参照してください。

修正事項

  • デバイス保証の猶予期間機能が、Chrome Device Trustユーザーには適用されていませんでした。(OKTA-817660)

  • プロビジョニングが有効になっていないアプリインスタンスで、グループプッシュエラーが表示されていました。(OKTA-924631)

  • システムログのsecurity.breached_credential.detectedイベントに、クライアントの場所、IPアドレス、ユーザーエージェントが表示されませんでした。(OKTA-934324)

  • ユーザーによる列挙の防止が有効になっているorgでは、アカウントがロックアウトされたユーザーのSign-In Widgetに誤った警告が表示されていました。(OKTA-939242)

  • アプリ統合で[ユーザーがアプリで再アクティブ化されている場合]オプションが有効化されている場合、切断されたADユーザーがADSSOを使って再ログインする際の最初の試行が失敗していました。(OKTA-939542)

  • SmartRecruitersアプリ統合のベースRole属性にロールを追加できませんでした。(OKTA-944146)

  • 小さなビューポートを持つデバイスのユーザーはサインアウトできませんでした。(OKTA-958188)

  • [Attribute length(属性の長さ)]が設定されている場合、[Profile Editor]でこれまで空白だったデフォルトの属性値を編集すると失敗しました。(OKTA-958747)

  • 侵害された資格情報の保護機能によってOktaからログアウトされた一部のユーザーのカスタム属性値がユーザープロファイルから削除されていました。(OKTA-964312)

Okta Integration Network

週次のアップデート

2025.07.1:アップデート1は7月14日にデプロイメントを開始しました

一般提供

Sign-In Widget、バージョン7.33.1

このリリースの詳細については、「Sign-In Widgetのリリースノート」を参照してください。ウィジェットの詳細については、「Okta Sign-In Widget」を参照してください。

修正事項

  • 一部のユーザーで、2番目のAuthenticatorとしてOkta Verify Pushが必要なorgでOktaにサインインしてブックマークアプリにアクセスすると、パスワードで2回認証する必要がありました。(OKTA-817382)

  • ルーティングルールが設定された一部のOIEプレビューorgでは、アプリの埋め込みURLをクリックしたユーザーが、そのアプリに割り当てられていなくても、誤ってIdPに送信されました。(OKTA-827133)

  • グループメンバーシップの割り当てを通じてスーパー管理者権限が付与された場合、インポート中にユーザーが非アクティブ化されていました。(OKTA-831811)

  • カスタム管理者ロールを持つ一部のユーザーが、認可サーバーのトークンプレビューを使用できませんでした。(OKTA-847900)

  • OrgUrlで末尾にスラッシュまたは大文字が含まれている場合、ユーザーはFIDO2、Okta Verify Push、またはTOTP認証を通じてMFAを検証できませんでした。(OKTA-897324)

  • 複数のID機能がID属性を評価する際に、大文字と小文字の区別を正しく処理しませんでした。(OKTA-899235)

  • Okta Org2Orgアプリを使用してorgにサインインする際に、ユーザーがモバイルデバイスでOkta Verifyに登録できませんでした。(OKTA-926590)

  • 一部のユーザーが、ポリシーにマッピングされたアプリのリストを読み込もうとすると、エラーが発生しました。(OKTA-934678)

  • ユーザー作成フォームに、管理者がファイルを表示または編集できるかが明確に示されず、ユーザー作成中に混乱を招きました。(OKTA-953319)

  • /login/agentlessDssoテストログインフローをnullステータスのトークンで使用すると、nullポインター例外が発生しました。(OKTA-958088)

  • 管理者がさらに表示オプションをクリックすると、ネットワークページが応答しなくなりました。(OKTA-958764)

  • 削除されたスキーマプロパティーのクリーンアッププロセスが不完全であるため、ユーザーは以前に使用した名前で新しいスキーマプロパティーを作成できませんでした。(OKTA-963030)

  • Oktaユーザーがサービスアカウントに正常に変換された後に、空白のページが表示されていました。(OKTA-969178)

  • ユーザー作成フォームに、管理者がファイルを表示または編集できるかが明確に示されず、ユーザー作成中に混乱を招きました。(OKTA-971861)

Okta Integration Network

2025.7.2:アップデート2は7月21日にデプロイメントを開始しました

一般提供

Sign-In Widget 7.33.2

このリリースの詳細については、「Sign-In Widgetのリリースノート」を参照してください。ウィジェットの詳細については、「Okta Sign-In Widget」を参照してください。

修正事項

  • 認証ポリシーに多数のアプリインスタンスが含まれている場合、そのポリシーがタイムアウトしていました。(OKTA-886236)

  • エンティティリスクポリシーアクションがクリアされたユーザーリスク検出のリスクレベルがSystem Logに誤って表示されていました。(OKTA-944114)

  • 一部のユーザーがエンドユーザー設定バージョン2.0にアクセスすると、エラーが発生していました。(OKTA-944786)

  • 直接認証機能が有効な場合、カスタムロールを持つ管理者はOIDCアプリを作成できませんでした。(OKTA-970705)

  • WebAuthnを追加し、権限条件を設定するオプションが、パートナー管理者ポータルで利用できませんでした。(OKTA-971778)

  • ユーザー作成フォームに、管理者がファイルを表示または編集できるかが明確に示されず、ユーザー作成中に混乱を招きました。(OKTA-971861)

  • パスワード同期が無効になっていても、オンプレミスSAPインスタンスへのパスワードのない新規ユーザーのプロビジョニングが失敗していました。(OKTA-973324)

  • ユーザー作成フォームに、管理者がファイルを表示または編集できるかが明確に示されず、ユーザー作成時に混乱を招きました。(OKTA-977736)

  • このリリースにはセキュリティ強化が含まれています。(OKTA-984152)

Okta Integration Network

2025.7.3:アップデート3は8月4日にデプロイメントを開始しました

一般提供

デバイス保証のOSバージョンアップデート

デバイス保証ポリシーで、次のOSバージョンがサポートされるようになりました。 - Windows 10(10.0.17763.7558、10.0.19044.6093、10.0.19045.6093) - Windows 11(10.0.22621.5624、10.0.22631.5624、10.0.26100.4652)

Sign-In Widget、バージョン7.33.3

このリリースの詳細については、「Sign-In Widgetのリリースノート」を参照してください。ウィジェットの詳細については、「Okta Sign-In Widget」を参照してください。

修正事項

  • パスワードポリシーが無期限に設定されていても、Oktaをソースとするユーザーにパスワードの有効期限が切れることを求めるプロンプトが表示されました。(OKTA-931026)

  • 読み取り専用の管理者はイベントフックを表示できませんでした。(OKTA-935143)

  • 管理者は、ユーザーの列挙設定がいつ変更されたか、誰が変更したかを特定できませんでした。(OKTA-945576)

  • ユーザーがOkta End-User Dashboardにサインインしようとしてエラーが発生したときに、カスタムエラーページが表示されませんでした。(OKTA-963685)

  • カスタムロールを持つ管理者が非アクティブ化され、その後すぐに再アクティブ化された場合、一時的に以前の権限を保持し、 Admin Consoleにアクセスできていました。(OKTA-968997)

  • 大文字と小文字を区別しないユーザー名を持つユーザーが、厳格に大文字と小文字を区別する既存のユーザーに一致しませんでした。(OKTA-969228)

  • パスワード同期が無効になっていても、オンプレミスSAPインスタンスへのパスワードのない新規ユーザーのプロビジョニングが失敗していました。(OKTA-973324)

  • 管理者は、パスワードレス登録ポリシーのもとでパスワードを設定せずにユーザーを作成できませんでした。(OKTA-976891)

  • ユーザー作成フォームに、管理者がファイルを表示または編集できるかが明確に示されず、ユーザー作成時に混乱を招きました。(OKTA-977736)

  • ユーザーがSign-In Widget(第3世代)の外をクリックすると、エラーが解決されないにもかかわらずエラーメッセージが消えていました。(OKTA-888819)

  • 組織で埋め込み型のSign-In Widgetを使用している場合に、認証後のサインインしたままにする機能にあるサインインしたままにするオプションが、機能しませんでした。(OKTA-921958)

  • Classic Engine orgでカスタムドメインを使用しており、カスタムサインインページがなく、バージョン5.10以前のSign-In Widgetを使用していた場合、Identity Engineにアップグレードできませんでした。(OKTA-961939)

  • アプリへのユーザーアクセスレポートの結果にユーザーが2回表示されていました。(OKTA-963812)

  • セルフサービス登録時、ディレクトリにすでに存在する値を入力すると、一部のユーザーでエラーが発生していました。(OKTA-965382)

  • 管理者がOktaでActive Directoryユーザーやグループを管理した際、イベントがシステムログに表示されないことがありました。(OKTA-976990)

  • 一部のActive Directoryユーザーに対して、資格情報侵害の保護機能によってすでにパスワードの有効期限が切れていた後に、パスワードの有効期限切れ通知が表示されていました。(OKTA-979447)

  • 管理者がユーザーのセッションをクリアし、かつログアウト対応アプリとOkta APIトークンも含めるを選択した場合でも、サインインしたままにするで記憶されていた要素はクリアされませんでした。(OKTA-979580)

  • カスタムプロパティの既定値が、編集されるたびにリセットされていました。(OKTA-983015)

  • 一部のユーザーが、ソーシャルログインIDプロバイダーのJIT設定でグループの割り当てを試みると、エラーが発生していました。(OKTA-983565)

  • Office 365アプリにサインインした後Oktaにリダイレクトされると、一部のADソースユーザーが非アクティブ化中の状態で残されていました。(OKTA-986550)

バージョン:2025.06.0

2025年6月

一般提供

Sign-In Widget、バージョン7.32.0

このリリースの詳細については、「Sign-In Widgetのリリースノート」を参照してください。ウィジェットの詳細については、「Okta Sign-In Widget」を参照してください。

デバイス保証のOSバージョンアップデート

デバイス保証ポリシーで、次のOSバージョンがサポートされるようになりました。

  • Android 13、14、15セキュリティパッチ2025-06-01
  • iOS 15.8.4
  • iOS 16.7.11
  • iOS 18.5
  • macOS Ventura 13.7.6
  • macOS Sonoma 14.7.6
  • macOS Sequoia 15.5
  • Windows 10(10.0.17763.7314、10.0.19044.5854、10.0.19045.5854)
  • Windows 11(10.0.22621.5335、10.0.22631.5335、10.0.26100.4061)

アプリ数から個人アプリの除外

管理者ダッシュボードで、アプリウィジェットの合計アプリ数から個人アプリが除外されるようになりました。これにより、orgのより正確なアプリ数が得られます。「SSOアプリを監視する」を参照してください。

アプリごとのSAML証明書有効期限の通知

タスクページに、個々のSAMLアプリに関する証明書有効期限の通知が表示されるようになりました。

カスタムドメインに関する新しいヘルプメッセージ

Oktaが管理するカスタムドメインを作成する管理者に、CAAレコードを追加するよう促すメッセージが表示されるようになりました。

アプリ権限にエージェント権限が含まれなくなりました

管理者にアプリケーションを管理する権限を割り当てても、エージェントを管理する権限は自動的に付与されません。アプリケーションを管理する権限を含む既存の管理者ロール割り当てには、エージェントを管理する権限は割り当てで維持されます。「ロールの権限」を参照してください。

Okta Provisioning AgentでSCIM 2.0によるグループプッシュがサポートされるようになりました

Okta Provisioning AgentとSCIM 2.0を使用して、オンプレミスアプリでグループプッシュを使用できるようになりました。「オンプレミスプロビジョニングのSCIMコネクターを作成する」を参照してください。

パートナー管理者ポータルアプリの新しい外観と操作性

パートナー管理者ポータルアプリページで、サイドとトップのナビゲーションメニューの再設計など、外観と操作性が新しくなりました。

カスタムユーザー属性のデフォルト値を定義する

ユーザープロファイル内のカスタム属性のデフォルト値を定義できるようになりました。「Oktaユーザープロファイルにカスタム属性を追加する」をご覧ください。

レルムのドメイン制限

レルム内の特定ドメインにユーザーを制限できるようになり、これによりレルム管理者とパートナー管理者の監視が強化され、ユーザー層間の境界が適用されます。「レルムを管理する」を参照してください。

Okta org間での認証クレームの共有

管理者は、認証クレームの共有により、SSO中にサードパーティーIdPからのクレームを信頼するようにOkta orgを構成できます。クレームを共有すると、OktaはIdPからの認証コンテキストを解釈することもできます。これにより、ユーザー認証時の重複した要素チャレンジが排除され、セキュリティ体制が向上します。「SAML IDプロバイダーを追加する」を参照してください。

Okta RADIUSの改善点

Okta RADIUSでJavaバージョン17がサポートされるようになり、新しい64ビットのインストーラーが追加されました。

Okta org間での認証クレームの共有

管理者は、認証クレームの共有により、SSO中にIdPからのクレームを信頼するようにOkta orgを構成できます。クレームを共有すると、OktaはIdPからの認証コンテキストを解釈することもできます。これにより、ユーザー認証時の重複した要素チャレンジが排除され、セキュリティ体制が向上します。「SAML IDプロバイダーを追加する」を参照してください。

条件付きで動的リソースセットを作成する

リソースセットの条件を使用すると、管理者の特定のアプリへのアクセスを除外することで、ロールのスコープを制限できます。これにより、カスタム管理者ロールをより細かく制御できるようになり、org固有のセキュリティニーズを満たすことができます。「リソースセットの条件」を参照してください。

認証ポリシーでの生体認証によるユーザー検証

生体認証によるユーザー検証(パスコードなし)を要求する認証ポリシーが構成できるようになりました。この機能を使用すると、ユーザーがOkta FastPassまたはOkta Verify Pushで認証するときに、生体認証情報が確実に確認されます。「アプリ・サインイン・ポリシーでの生体認証によるユーザー検証」を参照してください。

Okta認証局の自動更新

管理証明に使用されるOkta認証局(CA)は5年ごとに期限切れになります。プロアクティブに更新しないと、期限切れのCAによって認証が中断され、コンプライアンス要件が妨げられます。このリスクを軽減するために、Okta CA更新サービスは有効期限の1年半前にCAを自動更新し、認証とコンプライアンスが中断されないようにします。このサービスは、CAの更新をプロアクティブに管理することで、ダウンタイムを防ぎ、手動による介入を減らし、管理証明がシームレスで中断されないようにします。「Okta認証局の更新とアクティブ化のガイド」を参照してください。

サブスクリプションを管理のボタンを削除

設定ページから、サブスクリプションを管理のボタンを削除しました。

管理者による公開済みアプリインスタンスの削除防止

アプリインスタンスのバージョンステータスが公開済みの場合、管理者はorgからそのインスタンスを削除できなくなりました。

共有シグナルトランスミッター

OktaではCAEPを使用して、セキュリティ関連のイベントやその他のデータ主体のシグナルをサードパーティセキュリティベンダーに送信します。Oktaからのシグナル送信を有効にするには、SSFトランスミッターAPIを使用してSSFストリームを作成します。次に、Oktaからセキュリティイベントトークン(SET)として送信されたシグナルを受け入れるようにサードパーティレシーバーを構成します。「共有シグナルトランスミッターを構成する」を参照してください。

早期アクセス

アプリコンテキストを外部IdPに送信する

ユーザーがアプリへのアクセスを試みる際に、アプリに関するコンテキストを外部のIDプロバイダー(IdP)に転送できるようになりました。IdPのアプリケーションコンテキストチェックボックスを有効にすると、外部IdPに送信されるSAMLまたはOpenID Connectリクエストにアプリ名と一意のインスタンスIDが含まれます。この機能強化により、外部IdPは情報に基づいた、コンテキストに応じた認証決定を行えるようになり、高度なセキュリティシナリオとゼロトラスト環境がサポートされます。この機能を有効にするには、Admin Consoleで設定 > 機能に移動し、アプリケーションコンテキストを外部IdPに送信するを見つけて有効にします。

登録の猶予期間

現在、管理者がグループの登録ポリシーを定義すると、グループ全体が直ちに登録する必要があり、日常的なタスクの妨げになる可能性があります。

登録の猶予期間を使用すると、エンドユーザーは、登録が必須となる、管理者が定義した期限まで、新しいAuthenticatorの登録を延期できます。これにより、エンドユーザーは都合のよいときに登録できるようになり、認証ポリシーでAuthenticatorの新しいタイプを適用する前に、よりスムーズに登録を行うことができます。「Authenticator登録ポリシー」を参照してください。

RingCentralで新しいデフォルト電話番号ロジックを使用する

RingCentralアプリ統合で電話番号を検出および入力するロジックが更新され、DirectNumberとIntegrationNumberの両方のエントリで動作するようになりました。

プレビュー内のEAがIdPのシングルログアウトとなる

IdPのシングルログアウト(SLO)機能によって、ユーザーがアプリからサインアウトした際にIdPセッションを自動的に終了することで、共有デバイスと外部IdPを使用する組織のセキュリティが強化されます。また、この機能では、すべての新規ユーザーに対して新しい認証が必要となり、共有デバイスでのセッションハイジャックリスクが排除されます。IdP向けSLOでは、SAML 2.0接続とOIDC IdP接続の両方がサポートされます。これにより、どのような環境でも共有ワークステーションに堅牢なセッション管理が提供されます。「SAML IDプロバイダーを追加する」を参照してください。

パスワードで使用される単語をブロックする

Okta Expression Languageを使用して、パスワードで使用される単語をブロックできるようになりました。この機能により、パスワードの強度要件をカスタマイズすることでセキュリティが強化されます。

修正事項

  • iOSを含むSDKの文字列が、不明なオペレーティングシステムとして解析されていました。(OKTA-856044)

  • 自分の設定の個人情報ページ上で、一部のUI要素の背景色が正しくありませんでした。(OKTA-904266)

  • 埋め込みのSign-In Widgetとメールの任意機能が有効になっているorgでは、セルフサービスのロック解除フロー中にユーザーはメールアドレスの入力を求められませんでした。(OKTA-917289)

  • /idp/myaccount/sessionsエンドポイントは、カスタム認可サーバーによって付与されたアクセストークンを受け入れませんでした。(OKTA-929488)

  • 一部のユーザーは、IDプロバイダーでOVを使用して認証済みの場合でも、Okta Verify(OV)で認証するようにサービスプロバイダーから求められました。(OKTA-937311)

  • 設定ページの技術担当者フィールドにテキストが入力されていても、「このフィールドは空白にできません」というエラーが表示されました。(OKTA-939469)

  • End-User Dashboardで、ユーザーがブラウザーのサイズをモバイルサイズのビューに変更すると、ナビゲーションメニューが繰り返し開いたり閉じたりしました。(OKTA-940213)

Okta Integration Network

週次のアップデート

2025.6.1:アップデート1は6月23日にデプロイメントを開始しました

一般提供

コンテンツセキュリティポリシーのFrame-ancestors提供開始

Oktaは、/auth/services/devicefingerprintと/API/v1/internal/device/nonceのエンドポイントに対するコンテンツセキュリティポリシー(CSP)のframe-ancestorsディレクティブを提供開始します。埋め込みフレームからこれらのエンドポイントへのアクセスがブロックされないようにするには、任意の埋め込みオリジンを信頼済みオリジンとして追加します。「iFrameの埋め込み用の信頼済みオリジン」を参照してください。

さらに、Oktaは、/auth/services/devicefingerprintのCSPのscript-srcディレクティブでnonceの使用を提供開始します。このエンドポイントによって返されるページに挿入したインラインスクリプトがブロックされないようにするには、script-srcに追加されたnonceを考慮してインラインスクリプトを許可リストに登録します。

On-Prem MFAエージェントの新しいバージョン

On-Prem MFAエージェントのバージョン1.8.3が利用可能になりました。このバージョンには、セキュリティ強化が含まれます。

修正事項

  • request.userAgent.contains("XXX")式は、Office 365アプリの認証ポリシーでのみサポートされていました。(OKTA-827195)

  • アシュアランス要件を満たす必要がない場合でも、認証方法チェーンのステップから追加のセキュリティ方式の入力をユーザーに求めることがありました。(OKTA-869644)

  • アプリのロゴは、任意のSVG形式を使用して追加または更新可能でした。(OKTA-876028)

  • Okta Active DirectoryまたはLDAPエージェントが正常に更新された後、対応するメール通知で、新しいバージョンを実行しているエージェントが0個であると報告されていました。(OKTA-876968)

  • メールテンプレートのカスタマイズフィールドにエンコードされていない情報が自動入力されていました。(OKTA-922766)

  • プロキシIP使用状況レポートがプロキシタイプに不明な値を返していました。(OKTA-930091)

  • サポートされていないにもかかわらず、ChromebookユーザーはデバイスにOkta Verifyを登録するよう求められていました。(OKTA-937063)

  • 一部のユーザーのカスタムSAMLアプリページで、SAML属性ステートメントが誤って非表示になっていました。(OKTA-939543)

  • 既存のセッションに参加しているユーザーは、このIDプロバイダーからのクレームを信頼がIdPで有効化されていても、パスワード認証を求められていました。(OKTA-947997)

  • [HealthInsight]ページの表の位置がずれていました。(OKTA-948682)

  • 管理者ロールのガバナンス機能が有効な場合、管理者は標準ロールと同じ名前のカスタムロールを作成できました。(OKTA-950114)

  • [セキュリティ方式]ページにカスタムauthenticatorロゴが表示されませんでした。(OKTA-950902)

  • 一部のADまたはLDAPのインポートが失敗したときに、ジョブUIに「結果サイズが正しくありません:予想サイズは1、実際のサイズは2」という警告が表示されますが、システムログメッセージが書き込まれませんでした。(OKTA-638810)

  • 管理者が認証ポリシールールで認証頻度のプロンプトを1825日(5年)に変更すると、オプションが[Oktaグローバルセッションが存在しないとき]に変更されていました。(OKTA-920782)

  • AD DirSyncでのフルインポート中にappuser.CNがクリアされ、appuser.CNからOktaユーザープロファイルにマッピングされた属性がクリアされていました。(OKTA-944122)

  • 管理者が[はじめに]ページからビデオを開いたときに、閉じるボタンが表示されていませんでした。(OKTA-946268)

  • [Attribute length(属性の長さ)]が設定されている場合、[Profile Editor]でこれまで空白だったデフォルトの属性値を編集すると失敗しました。(OKTA-958747)

  • このバージョンには、セキュリティ強化が含まれます。(OKTA-963287)

Okta Integration Network

2025.6.2:アップデート2は6月30日にデプロイメントを開始しました

一般提供

Sign-In Widget、バージョン7.32.2

このリリースの詳細については、「Sign-In Widgetのリリースノート」を参照してください。ウィジェットの詳細については、「Okta Sign-In Widget」を参照してください。

修正事項

  • ユーザーのセッションが期限切れになった際に、Sign-In Widget(第2世代)から再認証を試みるとエラーが表示されることがありました。(OKTA-805758)

  • ユーザーが[Okta FastPassでサインインする]をクリックしても、インライン登録がトリガーされませんでした。(OKTA-864326)

  • エンドユーザーヘルプフォーム設定が無効になっていても、サインインヘルプページにセキュリティの問題を報告セクションが表示されました。(OKTA-898824)

  • 管理者が失敗したOffice365プロビジョニングタスクを再試行すると、不変ID値が消去されました。(OKTA-913410)

  • Okta Device Accessの認証局を作成したユーザーが削除されると、その認証局がOkta Admin Consoleに表示されませんでした。(OKTA-928246)

  • エンドユーザー設定ページで[プロファイルを編集]をクリックしたAndroidユーザーが、Okta FastPassを使って認証できませんでした。(OKTA-939020)

  • 一部のユーザーがAuthenticatorの登録を試みるとエラーが発生しました。(OKTA-941710)

Okta Integration Network