Okta 新機能のお知らせ(2021年6月版)

本ブログでは、2021年6月に発表された Okta の主要な最新機能についてご紹介いたします。最新のリリースノート(英語版)につきましては、こちらのページよりご覧ください。

Generally Available 機能

Okta Sign-In ウィジェット v5.7.0 (GA)

ka8ZoWfQ6hF FaoCmZdrp YfaME2uTJogkoA m2WplPrYnqbO6JUEGmOcb4GqXUCwK LYGt1zElfHlnqGD18duxSDl614P18KlrJj7HovsaI92cgqe0fJapEz8Re6o1iW exz9kl

MFA クレデンシャルプロバイダー(Windows 専用) v1.3.1 (GA)

MFA クレデンシャルプロバイダー(Windows 専用)v1.3.1 では、脆弱性対策の強化に加え、バグ修正や機能改善が追加されました。さらに、サポート対象のOSとしてWindows 2019 が追加されています。

Q5a1HMfMXDcfGSJwqdZoLcoq5lJUSX6w8aZ0vrPtRW91Hky1aKy1DKBXvU HdInL9zTgVkbsksiDf2CxnYW7rVJagiw9sZQ04kN1FueXUisBadHAbTELKmQSTi3Q29erRCXFzBaA

Active Directory をホスティングするWindows サーバーは、不正アクセスやランサムウェア攻撃の標的となります。サーバーへの不正侵入を確実に防ぐため、Windows サーバー群への MFA 導入を推奨いたします。なお、MFA 以外のサーバー保護機能を提供する製品として Okta アドバンストサーバーアクセスもございます。

バージョン履歴やインストール手順については、こちらのリンクよりご確認ください。

Okta Device Registration Task v1.3.1 (GA)

Device Registration Task v1.3.1 が Pythons 3 に対応しました。macOS 10.15.xx (Catalina) 以降でデバイストラストを安定的にご利用いただくためには、最新の Device Registration Task を使ってシステムを構成する必要があります。Python 2 ベースの古いスクリプトを使用した場合、デバイスの登録に失敗したり、Keychain へのアクセス許可が繰り返し求められるという事象が発生します。

EPdLPEhw9 TfCAQNLQeHLtQ8AvUnTjE9BxrABEdn0pq2j3bRuUF dRyXpC6aBhvAiG2AUaQaT mi09xGpPB3Uz7SQTzAQapQJZn6KHWHkTx9fOD4AEqxWkUR2vRSpkWMQL3a7mpU

管理者コンソールの Settings > Downloads メニューより最新バージョンをダウンロードできます。

デバイストラストの詳細は以下のリンクをご覧ください。

LDAP インターフェイス SSO ポリシー (GA)

サインオンポリシーを作成する際、LDAP インターフェイス経由で認証するユーザーに限定したルールが作れるようになりました。この変更により、SSO ポリシーを LDAP インターフェイスにのみ適用したり、LDAP以外の認証方式をポリシーから除外することが簡単にできるようになりました。ルールが煩雑になるのを抑える効果が期待できます。

mzC8VyNyHoSTS93eW8ODvQoHvuxayXUiDD8tmc1JCAZkqDQ2Bmy6BcuDD3NKuj4tLodQFZaya4GevAtM7MwWlJ8SvN0Yiolo7u8dzKj1XIZstrAULXATG  ccP3YmNLYR2Z5V1sA

詳細はこちらのリンクよりご確認ください。

インポートセーフガードとイベントフック (GA)

インポート セーフガードイベントが イベントフックとして利用できるようになりました。これにより管理者は、インポートセーフガード発動時のイベントをトリガーとして外部システムへ通知を送ることができます。

Oiu7BOmm1swgNAnYirsIF lySk1YwVJZ6wpdus8jt p0o Oec6MR6BON48OhqM v4QPUiLgMQVlzQUNh x7GmAdolENKa0cEl0sTB9u82e3Wf4CqCjLj9Z5I4JPr1Fs S9QWugc6

詳細は以下のリンクをご覧ください。

アプリケーション統合ウィザード(AIW)の改善 (GA)

アプリケーション統合ウィザード(AIW)の利便性が向上しました。Application ページと Browse App Integration Catalog ページのどちらからでも AIW へアクセスできます。認証方式やプラットフォームなどの選択手順を簡素化することで、無駄な入力を省きました。

ウィザード内のヘルプヒントも分かり易くなり、ドキュメンテーションの参照や定義の確認が必要なくなりました。

o6nnCi0AwpA qxxBk nOyBRtq83KRJ21XlSEONZbErW4iF6xGS6QMLMBYe5m2Vd6CToWt82i0ZnHFrCUUTNGLqSDVW2QvMZ2ArQUyuhkPCOyQZGpZUq16R0ZKr66i3tkPPWXYMDf

また、グループへの割り当てや Trusted Origin の設定がウィザード内で完結できるようになったことで、さらなる時間の短縮を実現しました。

詳細は Create a new Okta app をご覧ください。

エージェントレス DSSO と IWA のポーリングサポート (GA)

エージェントレスデスクトップシングルサインオン(ADSSO)と統合 Windows 認証(IWA)の認証セッションがポーリングをサポートしました。従って帯域を大幅に消費するピーク時においてサービス中断が発生する可能性を抑えることができます。

ユーザー認証にADSSSもしくはIWAをご利用の場合、ピーク時のサーバーの稼働率と認証リクエストの処理能力を向上させることができます。

DSSO の詳細は こちらのリンクをご覧ください。

Okta Verify がリスクベース認証をサポート (GA)

Okta Verify (プッシュ通知) がリスクベース認証に対応しました。この新機能により、エンドユーザーが組織にサインインして Okta Verify で認証を行う際、管理者はリスクレベルの評価ができるようになります。

oYqbCDZTInJovosnLedpjkP1uwu5HMdDHozfdYgIRRtEHwpHxQiZUk2PdGPZ4qIzl9lUZ3Jijw3TgsCNSkxGBZqmbY iFciYPgYSd7JjCL0H68 mMOa7yl6PrEjKfOsgaOCINDLC

以上に加え、リスクが高いと判断される認証が生じた時には(中間者攻撃を受けやすいと判断された場合)、Okta Verify (プッシュ通知)のモードが自動的にナンバーチャレンジへ切り替わります。このようにリスクベース認証と Okta Verify を組み合わせることで、リスクに応じた柔軟な防御措置を取ることができます。

9edN5ftMl0vHtesYNLV4b DgpVoMTQK83qkWi5H 1C9g lLd 38Mlf4ngMJ84uMcNx19PTYJcyOJ AtYVS8TutXJKPjpS381fH4iRpF9 jDhiPAEn90m5Qx6aII6LgY 5 KKFVdg

詳細は以下のリンクをご覧ください。

この機能は段階的に全ての組織へ導入されます。

RADIUS が EAP-TTLS プロトコールをサポート (GA)

RADIUS エージェントが EAP-TTLS 認証プロトコールをサポートしました。

まだ PAP 認証(単体)が広く使われております。EAP-TTLS と PAP 認証を併用することで、PAP 認証の弱点を補うことができます。今後 EAP-TTLS  に対応したネットワーク機器が普及するにつれ、より多くのお客様にご利用いただける機能となります。

Radius連携でサポートされる MFA の種類については、こちらのリンクをご確認ください。

この機能は段階的に全ての組織へ導入されます。

最近使用されたアプリケーション (GA)

「最近使用した項目」セクションがエンドユーザーダッシュボードとOktaブラウザープラグインの最上部に配置され、より簡単にアプリへアクセスできるようになりました。「最近使用した項目」設定を有効・無効にするには、エンドユーザーダッシュボードの設定ページから設定を変更できます。機能を無効にすると、それまで蓄積したアプリのアクセス情報が失われるのでお気をつけください。

RSB98G8zAStRgQRR 6srhnQuqGGfPs0JCfI Z7BRFpYGS0BfsieW4M VtxWJUQ zxHml7Y8yTBJaqFlsdaTR0TQaUp47glfwjCtanppHESv5vobrRI5k mXCRzOh02YiNS0RCaV2

詳細は、 こちらのリンクをご確認ください。

この機能は段階的に全ての組織へ導入されます。

Generally Available 機能改善 (GA)

イベントフックレート制限とシステムログ

system.operation.rate_limit.warning がアップデートされ、組織がイベントフックのレート制限に近づくと、管理者は通知を受けられるようになりました。

wdwuw5Kale9C5cViChUMj01D8ZqJEHChqVgjMMrDE3w0hj PV87D6pvQqVJ6PXyU8FQOSQ3Sx0Nmd5QaxptYDV1Pr5WwJebxXo2zGXodQ7mMNaY czXgh hG0ITU9VSAoXNglakQ

system.operation.rate_limit.violation がアップデートされ、組織がイベントフックのレート制限を超えると管理者は通知を受けられるようになりました。

MbBoTrAUVnGVGdwFpodb4npabG jNkpKKijNZsHz39xllm qYzMzbB0JRM6UYVaPlBm7J rvhhu7k29AwMwcyJwar5RqEPKLE2tFK m1H4RjSP0Ow1iiJjUEP5MYaluzzIX1iob9

詳細はこちらのリンクをご確認ください。

OAuth スコープとユーザー同意の同意 (GA)

OAuth スコープの作成・編集画面に新しいオプション「Block services from requesting this scope」が追加されました。このオプションを有効にすると、ユーザーとの直接的な対話をサポートしないサービス間通信(例、OAuth 2.0 クライアント認証フロー)でユーザー同意(consent)を強制することができます。その結果、サービス間通信のリクエストがブロックされます。

ZFka16sPy7 UaIr05m8ydvsxRZaYTyVSYo0yBtxUl2LUsLYSxNvJXcQvfZPQStjh12nkwkIm3kGJlLwjlJz75mKkPdRo6a Klfn0GEdRgU026sDKZLExpK2LUnH1 1atC9O9q4ZW

「Block services from requesting this scope」 オプションの詳細は、 こちらのリンクをご確認ください。

OAuth クレーム評価イベントの結合 (GA)

システムの負荷と運用コストを抑えるため、1つのトークンリクエスト(access token/ID token)に対して app.oauth2.as.evaluate.claim イベントを1度だけ記録するよう仕様が変更されました。

X7yvvp WvTnVVJ7wgSHpFUmJxV6Yi2z 2GHIEA6rWv1ziJJ7pHHNGaYFUhA9tbeJMrmkmjvBu7EI8fiynNhwMxZqwxFAub6scsuoUoU2LDZCaoCI DN MkX5qkyk OV1zQsAX4Si

プロビジョニング向け Username オプションのUI改善 (GA)

Application username format プルダウンメニュー項目で選択したオプションが Create only 方式をサポートしない場合、Create only が無効化された状態で表示されます。アップデート以前は、非表示になってました。

hS7Qidl2pJaaNjYIZMQtvtUM9Y137DKbxX5IC2wp8EkTYzpLF1zyQ1LbkbcXSPK1zzSF7eFEuIp 6tmRr8NeQLQCNR6iYxgNKHUH4jpbkeNsH7unsZTYm0RlFSFnPhymBaowgKl5

セッションの同期化 (GA)

Okta エンドユーザーダッシュボードを開いている全てのブラウザータブ間でセッションの有効期間情報が共有されます。

10vcbl 4xzprQCkMtEAyxpFbcbTpuSxKhcH 1Pe9i 2qAWCVFwu7UcVSLLfA3NIpNgkF w jrgXl2KK77JQNx0tQKI9FW7NDvstNl5LQWsAK2TXxlwwJjjnMEY5b8j3nX7KUsDv0

サインインウィジェットと非表示項目 (GA)

サインインウィジェット内に配置されているユーザー名とパスワードの入力項目(非表示部)が音声読み上げソフトによって読み上げられないように改善されました。

Oktaは、アクセシビリティを重視した新しいデザインシステム “Odyssey”  を2021年2月に公開しました。目の不自由な方にも快適にサービスをご利用いただけるような UX デザインを心掛けております。今後ともインクルージョンを配慮した製品開発を続けていきます。

ファイルアップロード ツールチップ (GA)

App Instance ページ上のツールチップのテキスト形式が統一されました。

VI5sR3tRQ5iEx5wYpLw9oCLoezMsuNwd7GvWyEhwigcGZ60HjUzlsym8KzuXCIns1KT EdET99onobp 2pmfy6rTk0pOG9pGLRaNYgP aBkITqSBcUU2Ui9LdACJ FPS9TnjGmG

Early Access 機能

レート制限ダッシュボード (EA)

レート制限ダッシュボードが新たに追加されました。レート制限の警報 (warning) や違反イベント (violation) の原因調査に役立ちます。過去のデータや帯域を大きく消費するIPアドレスを特定することができます。

レート制限ダッシュボードは、以下の用途にご利用いただけます。

  • 異常なIPアドレスの特定や隔離
  • 警報発生時の迅速な対処
  • レート制限違反の原因分析と恒久的な解決策

TbGMP1ZUUW4bmYZ56FIhMfT7ht7D57zRdT t4m2cgwkUibLKy7qp P4 agbWo8cLed2OCY6GdvVNN73DtxQejedmzhe2CLX0eWkn0wZ3ci9QN1oVme1Cdm5jPhXFJeL4y8woohxz

レート制限違反が発生するとシステムログにイベントが記録されます。イベント情報の中にはレート制限ダッシュボードへアクセスするためのリンクが含まれます。管理コンソールから直接レポートを開くことは現在サポートされていませんが、メール通知やバナー経由でアクセスリンクを取得することもできます。

cSy0 iQkJqRgj3l0n9kKR5 zaqbddFXk6zqIN vOGYHfK 0r7Y ff2EIcHEZZSbauFUsRW2uTjI9NedaN1CDHaMvW1o6aZKlBlT83S 8QI1Z1UcR1ItKQMyHhrC4d4Gk2V9DtMiO

詳細はこちらのリンクをご確認ください。