Okta Identity Engineリリースノート（本番）

バージョン：2026.05.0

Workdayのエンタイトルメント管理

管理者は、OktaでWorkdayアプリインスタンスのエンタイトルメントを管理できるようになりました。この機能により、ユーザーベースのセキュリティグループの検出とガバナンスが可能になり、自動化されたアクセスリクエストと認証が有効になります。

レポートのエクスポート

次のレポートを生成するときに、CSVとGZIPのエクスポート形式を選択できるようになりました。

• Okta使用状況
• アプリケーション使用状況
• MFA使用状況

アクセスリクエスト条件の説明を追加する

アプリ、コレクション、Okta管理者ロールバンドルのアクセスリクエスト条件に説明を追加できるようになりました。これらの説明は Access Requests タブの条件の名前の横に表示され、各条件の具体的な目的を理解しやすくなります。アクセスリクエスト条件を作成するを参照してください。

Sign-In Widget、バージョン7.45.0、7.45.1、7.45.2

これらのリリースの詳細については、https://github.com/okta/okta-signin-widget/releasesを参照してください。ウィジェットの詳細については、https://github.com/okta/okta-signin-widget?tab=readme-ov-file#okta-sign-in-widgetを参照してください。

管理対象接続からリソース接続への名称変更

Okta for AI AgentsページとSystem Logイベントで、管理対象接続の参照がリソース接続に名称変更されました。

Slackリソースサーバーコネクター

Slackリソースサーバーコネクターを使用して、SlackとAIエージェントの間にリソース接続を作成できるようになりました。リソースサーバーコネクターを構成するを参照してください。

ユーザーパスワード変更後のセッション保持

ユーザーがパスワードを変更し、他のすべてのデバイス からサインアウトする（Sign me out of all other devices）を選択した場合、他のアクティブなセッションが取り消された後も、Oktaは現在のセッションを保持するようになりました。

未構成の識別子のSystem Logイベント

Active DirectoryでJITが有効になっていて、ユーザーが未構成の識別子で認証した場合、そのイベントがSystem Logに表示されるようになりました。

Okta for AI Agents

Okta内で直接AIエージェントのアイデンティティを登録、保護、管理できるようになりました。エージェントを手動で登録するか、プロバイダーアプリから直接インポートします。最小権限のアクセスを強制し、永続的な権限を排除し、System Logを使用してエージェントワークフロー全体のすべての委任ホップを追跡できます。AIエージェントは、人間ユーザーと同じID基準によって管理されるデジタルワークフォースのメンバーになります。

DirSyncインポートのSystem Logイベント

DirSyncベースのインポートでActive Directory エージェントの互換性を検証するときに、そのイベントがSystem Logに表示されるようになりました。

Passkey（ FIDO2 WebAuthn）Authenticatorのデフォルト設定の更新

WebAuthn Authenticatorの構成は、すべてのorgでは「推奨されるユーザー検証」に設定され、新しいorgでは「Passkey」に設定されます。これらの更新により、手動構成が削減され、シームレスな登録プロセスが確保され、さまざまなデバイスのユーザーに対してより信頼できるサインインエクスペリエンスが提供されます。

Authenticator登録猶予期間のスキップ回数

この機能により、管理者は、Authenticatorへの登録を延期できるスキップの回数、またエンドユーザーに猶予期間が表示されたときのプロンプトのカスタマイズを定義できます。Authenticator登録ポリシーを参照してください。

WindowsでのOkta Verifyのリリース制御

新しいリリース制御機能で、管理者はWindowsでOkta Verifyの自動更新を許可、一時停止、または制限するかを構成できるようになります。これにより、企業の変更管理要件を満たし、Windowsエンドポイント全体でバージョンロールアウトを管理するための柔軟性が高まります。Okta Verifyのリリース管理を構成するを参照してください。

パスキーのブランド変更

FIDO2（WebAuthn）Authenticatorのブランド名がパスキー（FIDO2 WebAuthn）に変更され、Oktaでは管理制御が強化され、ユーザーエクスペリエンスが合理化されます。この更新により、統合された設定ページを通じてパスキー管理が一元化され、authenticatorのカスタム名が使用できるようになり、Sign-In Widget内にパスキーでサインインするボタンが導入されます。これらの機能強化により認証手順が簡素化され、ユーザーにパスキーでサインインボタンを使った、より直感的なサインインプロセスが提供されます。パスキー（FIDO2 WebAuthn） Authenticatorを構成するを参照してください。

ネットワークゾーンのレジデンシャルプロキシ検出

この機能は、匿名のプロキシやVPN以外にも、Enhanced Dynamic Network Zonesに関連する新たなゾーンを追加します。お客様は、ZSCALER_PROXY、PERIMETER_81などのサービスカテゴリーを使用できます。サポートされるIPサービスカテゴリーを参照してください。

サードパーティおよびOrg2Org IdPのGlobal Token Revocation

Oktaは、サードパーティおよびOrg2OrgのIDプロバイダー（IdP）のGlobal Token Revocation（GTR）をサポートするようになりました。この機能を使用すると、外部IdPはUniversal Logoutを安全にトリガーし、アプリのエコシステム全体ですべてのユーザーセッションとトークンを即座に取り消すことができます。対応アプリにUniversal Logoutを構成するを参照してください。

再認証のためにフェデレーションユーザーをIdPにリダイレクトする

IdPへの再認証により、Okta管理者は、ポリシーによって再認証が求められたときにフェデレーションユーザーをソースSAML、 OIDC、またはOrg2Org IdPにリダイレクトすることで、フェデレーションのIDを保護できます。管理者はソースIdPで再認証を強制することで、長期有効のセッションのセキュリティギャップを閉じ、Oktaで重複するMFA登録を構成する必要を排除できます。再認証のためにフェデレーションユーザーをIdPにリダイレクトするを参照してください。

メールの自動登録と復旧の管理

管理者は、 Authenticatorとしてのメールの自動登録を制御し、メールがAuthenticatorでない場合のメールベースのパスワード復旧、ロック解除、変更を構成できます。メールを任意のAuthenticatorにするを参照してください。

Android向け管理対象アプリ保証

デバイス保証ポリシーの新しい デバイスプロファイル制限 条件により、 Androidユーザーは、 Okta Verifyがインストールされているのと同じ管理対象ワークプロファイルからのみ保護対象アプリにアクセスできるようになります。これにより、個人プロファイルからのアクセスを防止して、データリークのリスクを軽減し、セキュリティポスチャを改善できます。デバイス保証ポリシーを追加するを参照してください。

デバイスバウンドSSOでのプラットフォームSSOのパスワード統合

プラットフォームSSOのパスワード認証をデバイスバウンドSSOに統合します。ユーザーがmacOSサインインウィンドウでサインインすると、Oktaはパスワード要素を確認し、デバイスバウンドセッションを作成します。これによりユーザーは、追加のパスワードプロンプトを表示することなく、ブラウザーでOktaで保護されたアプリにアクセスできます。macOSのプラットフォームSSOと汎用MDMを使用してPSSOのデバイス構成プロファイルを構成するを参照してください。

プラットフォームSSO向けのSecure Enclaveキーのサポート

プラットフォームSSOが、デバイスバウンドSSOと統合するSecure Enclaveキーベースの認証方法をサポートするようになりました。ユーザーがmacOSサインインウィンドウでパスワードを使用して認証すると、認証によってSecure Enclaveに保存されたハードウェアバインド暗号化キーがロック解除されます。Otkaはこのキーを使用して、MFAプロンプトを繰り返さずに、ユーザー検証を備えたOtka FastPassを必要とする認証ポリシーを満たすデバイスバウンドセッションを作成します。macOSのプラットフォームSSOと汎用MDMを使用してSecure Enclaveのデバイス構成プロファイルを構成するを参照してください。

AIエージェントを検知・検出する

Security Access MonitorブラウザープラグインとOkta Identity Security Posture Management（ISPM）を使用して、アプリへの新しいOAuth付与と、その結果orgで使用されるシャドーAIエージェントの状況を可視化します。プラグインは、管理対象ブラウザーでアプリへの新しいOAuth付与とAIエージェントを監視します。ISPMは、OAuth付与テレメトリを取得してデータを分析し、ユーザーが認可するすべてのサードパーティアプリを特定するために必要な可視性を提供します。これにより、シャドーOAuth付与とAIエージェントに関連するリスクを軽減できます。プラグインを構成すると、ISPMコンソールのNHIとAIエージェント（NHIs and AI agents） > ブラウザーOAuth付与（Browser OAuth Grants）ページに移動して、org全体の新しいOAuth付与をすべて確認できます。AIエージェントを検出して評価するを参照してください。

• ADエージェントを非アクティブ化した後、エージェントのバージョンの誤った形式が表示されていました。（OKTA-1117122）

• 一部のユーザーに適用されたグローバルセッションポリシーが削除された場合、当該ユーザーはサインインできませんでした。（OKTA-1131197）

• user.session.context.changeイベント後、ITPポリシーの再評価中に 、Oktaで定義された任意のネットワークゾーンで構成された一部のグローバルセッションおよびアプリサインインポリシールールが一致しませんでした。（OKTA-1151868）

• アプリ認証ポリシーで サインインしたままに するプロンプトが有効になっている場合、ユーザーがセルフサービスによるパスワードのリセットを完了した後に、Okta Sign-In Widget にエラーが表示されていました。（OKTA-1152243）

• AMRクレームの更新がSalesforce（フェデレーションID）アプリ統合に適用されていませんでした。（OKTA-1164030）

• ロール別の管理者の割り当て ページで、 ロールの プレビューペインに、 クライアント資格情報 の表示権限の代わりに"L10N_ERROR[okta.apps.clientCredentials.read.name.code]"が表示されていました。（OKTA-1166616）

• TOPdesk Operator by FuseLogic（SCIM）が更新されました。

• Magnite Streamr（OIDC）が利用可能になりました。詳細をご確認ください。

• Matik（Basic認証）が更新されました。

• Console （OIDC）に新しいアプリの説明があります。

• Sastrufyには新しいアプリ名と新しい構成ガイドがあります。

• WideField Security - DetectおよびRemediate（API統合）が利用可能になりました。詳細をご確認ください。

• Console （APIサービス）に新しいアイコンと説明が追加されました。

• Yunu（OIDC）が利用可能になりました。詳細をご確認ください。

• YipitData Agent（OIDC）が利用可能になりました。詳細をご確認ください。

• Software Analytics（OIDC）に新しいアプリ名（Antenna）、アイコン、説明、新しいリダイレクトURI、および統合ガイドがあります。詳細をご確認ください。

• Ternary（OIDC）が利用可能になりました。詳細をご確認ください。

• Syndio（OIDC）が利用可能になりました。詳細をご確認ください。

• Form（OIDC）が利用可能になりました。詳細をご確認ください。

• Truepic Vision（OIDC）が利用可能になりました。詳細をご確認ください。

• Tandem Health（OIDC）が利用可能になりました。詳細をご確認ください。

• CJ Affiliate（OIDC）が利用可能になりました。詳細をご確認ください。

• Asset Integrity for Pipelines（OIDC）が利用可能になりました。詳細をご確認ください。

• Metlife MyBenefits（SWA）が更新されました。

• Conduit Security（OIDC）が利用可能になりました。詳細をご確認ください。

• Harmony（SCIM）が利用可能になりました。詳細をご確認ください。

• Harmony（SAML）が利用可能になりました。詳細をご確認ください。

• LinkedIn Sales Navigator（SCIM）が利用可能になりました。詳細をご確認ください。

• Haystack（SCIM）が利用可能になりました。詳細をご確認ください。

• Suger（OIDC）に新しいリダイレクトURIが追加されました。

• ThoughtSpot（OIDC）が利用可能になりました。ThoughtSpot OIDC統合を作成するを参照してください。

• Matik（SCIM）が利用可能になりました。詳細をご確認ください。

• Matik（SAML）が利用可能になりました。詳細をご確認ください。

• JumpCloud（OIDC）が利用可能になりました。JumpCloudを参照してください。

• FuseLogicのTOPdesk Operator（エンタイトルメント管理）が利用可能になりました。詳細をご確認ください。

• リフレッシュトークンの失敗または取り消しイベントがSystem Logに記録されると、イベントのtarget.detailEntryに不完全なバージョンのリフレッシュトークンハッシュが表示されました。（OKTA-1145851）

• すべてのプロファイルマッピングを一覧表示するAPIは、リクエストにsourceIdまたはtargetIDパラメーターが含まれていない場合、エラーを返すことがありました。（OKTA-1153229）

• Admin Consoleで、一部のセルのステータスサイトリンクが間違ったステータスページを指していました。（OKTA-1158204）

• イベントフックの管理権限で、管理者またはサービスアプリがイベントフックを作成できませんでした。（OKTA-1162004）

• 自分の設定（My Settings）の最近のアクティビティ（Recent Activity）ページで、スクリーンリーダーのお知らせが、セキュリティイベントの静的テキストと一致していませんでした。（OKTA-1164456）

• 認証エラーが発生した場合、Sign-In Widgetに役立つエラーメッセージではなく、SQLエラーメッセージが表示されていました。（OKTA-1168939）

• 管理者がカスタム管理者ロールのプレビューペインを表示したときに、ID権限の一部のラベルが誤って表示されていました。（OKTA-1168945）

• サードパーティMCPサーバーの管理権限を持つ管理者が、自分のOrgのMCPサーバーを編集できませんでした。（OKTA-1173945）

• Augment Code（OIDC）が更新されました。

• Harmony SASE（SAML）のアイコン、表示名、説明が新しくなりました。詳細をご確認ください。

• Redblock AI（SAML）が利用可能になりました。詳細をご確認ください。

• Dokio（SCIM）にAPIと構成に関する新しいガイドが追加されました。

• Common Room（SCIM）でグループプッシュがサポートされるようになりました。

• Rubrik Security Cloudは、次のスコープをサポートするようになりました。

  • okta.authorizationServers.manage
  • okta.authorizationServers.read
  • okta.idps.manage
  • okta.idps.read
  • okta.networkZones.manage
  • okta.networkZones.read

• Check Point SASE（SCIM）が更新され、新しいリージョンが追加されました。

• Stripeの構成ガイドが新しくなりました。詳細をご確認ください。

• Stripe（SCIM）が利用可能になりました。詳細をご確認ください。

• Butterfly Security（OIDC）が利用可能になりました。詳細をご確認ください。

• Butterfly Security（SCIM）が利用可能になりました。詳細をご確認ください。

• Wrike（SCIM）でグループプッシュがサポートされるようになりました。

• Scribble Maps（SCIM）が利用可能になりました。詳細をご確認ください。

• Scribble Maps（OIDC）が利用可能になりました。詳細をご確認ください。

• Scribble Maps（SAML）が利用可能になりました。詳細をご確認ください。

• Concentric AI（SCIM）が利用可能になりました。詳細をご確認ください。

• Concentric AI（SAML）が利用可能になりました。詳細をご確認ください。