Okta 新機能のお知らせ（2021年6月版)

本ブログでは、2021年6月に発表された Okta の主要な最新機能についてご紹介いたします。最新のリリースノート（英語版）につきましては、こちらのページよりご覧ください。

Generally Available 機能

Okta Sign-In ウィジェット v5.7.0 (GA)

• OAuth 2.0 デバイスフロー(RFC 8628)がサポートされています。デバイスフロー詳細は、こちらのブログ（英語）をご覧ください。
• リリースの詳細は下記リンクをご覧ください。Sign in Widget Release Notes
• ウィジェットの詳しい説明は下記リンクをご覧ください。Okta Sign-In Widget Guide

MFA クレデンシャルプロバイダー（Windows 専用） v1.3.1 (GA)

MFA クレデンシャルプロバイダー（Windows 専用）v1.3.1 では、脆弱性対策の強化に加え、バグ修正や機能改善が追加されました。さらに、サポート対象のOSとしてWindows 2019が追加されています。

Active DirectoryをホスティングするWindowsサーバーは、不正アクセスやランサムウェア攻撃の標的となります。サーバーへの不正侵入を確実に防ぐため、Windowsサーバー群への MFA導入を推奨いたします。なお、MFA以外のサーバー保護機能を提供する製品として Okta アドバンストサーバーアクセスもございます。

バージョン履歴やインストール手順については、こちらのリンク（英語）よりご確認ください。

Okta Device Registration Task v1.3.1 (GA)

Device Registration Task v1.3.1 が Pythons 3 に対応しました。macOS 10.15.xx (Catalina) 以降でデバイストラストを安定的にご利用いただくためには、最新の Device Registration Task を使ってシステムを構成する必要があります。Python 2 ベースの古いスクリプトを使用した場合、デバイス登録の失敗や、Keychain へのアクセス許可が繰り返し求められるという事象が発生します。

管理者コンソールの Settings > Downloads メニューより最新バージョンをダウンロードできます。

デバイストラストの詳細は以下のリンクをご覧ください。

• Enforce Okta Device Trust for Jamf Pro managed macOS devices
• Device Trust for macOS Registration Task Version History
• 【Okta機能・設定方法紹介】デバイストラスト編

LDAPインターフェイス SSOポリシー (GA)

サインオンポリシーを作成する際、LDAPインターフェイス経由で認証するユーザーに限定したルールが作れるようになりました。この変更により、SSOポリシーをLDAPインターフェイスにのみ適用することや、LDAP以外の認証方式をポリシーから除外することが簡単にできるようになりました。ルールが煩雑になるのを抑える効果が期待できます。

詳細はこちらのリンク（英語）よりご確認ください。

インポートセーフガードとイベントフック (GA)

インポートセーフガードイベントがイベントフックとして利用できるようになりました。これにより管理者は、インポートセーフガード発動時のイベントをトリガーとして外部システムへ通知を送ることができます。

詳細は以下のリンクをご覧ください。

• About import safeguards
• Event Types

アプリケーション統合ウィザード(AIW)の改善 (GA)

アプリケーション統合ウィザード(AIW)の利便性が向上しました。Application ページと Browse App Integration Catalog ページのどちらからでもAIWへアクセスできます。認証方式やプラットフォームなどの選択手順を簡素化することで、無駄な入力を省きました。

ウィザード内のヘルプヒントも分かり易くなり、ドキュメンテーションの参照や定義の確認が必要なくなりました。

また、グループへの割り当てやTrusted Originの設定がウィザード内で完結できるようになったことで、さらなる時間の短縮を実現しました。

詳細は Create a new Okta app をご覧ください。

エージェントレスDSSOとIWAのポーリングサポート (GA)

エージェントレスデスクトップシングルサインオン（ADSSO）と統合Windows認証（IWA）の認証セッションがポーリングをサポートしました。従って帯域を大幅に消費するピーク時においてサービス中断が発生する可能性を抑えることができます。

ユーザー認証にADSSSもしくはIWAをご利用の場合、ピーク時のサーバーの稼働率と認証リクエストの処理能力を向上させることができます。

DSSOの詳細は  こちらのリンク（英語）をご覧ください。

Okta Verifyがリスクベース認証をサポート (GA)

Okta Verify (プッシュ通知)がリスクベース認証に対応しました。この新機能により、エンドユーザーが組織にサインインしてOkta Verifyで認証を行う際、管理者はリスクレベルの評価ができるようになります。

以上に加え、リスクが高いと判断される認証が生じた時には（中間者攻撃を受けやすいと判断された場合）、Okta Verify（プッシュ通知）のモードが自動的にナンバーチャレンジへ切り替わります。このようにリスクベース認証とOkta Verifyを組み合わせることで、リスクに応じた柔軟な防御措置を取ることができます。

詳細は以下のリンクをご覧ください。

• About Okta Verify
• Enable Number Challenge with Okta Verify with Push

この機能は段階的に全ての組織へ導入されます。

RADIUSがEAP-TTLSプロトコールをサポート (GA)

RADIUSエージェントがEAP-TTLS認証プロトコールをサポートしました。

まだPAP認証（単体）が広く使われております。EAP-TTLSとPAP認証を併用することで、PAP 認証の弱点を補うことができます。今後、EAP-TTLS に対応したネットワーク機器が普及するにつれ、より多くのお客様にご利用いただける機能となります。

Radius連携でサポートされるMFAの種類については、をご確認ください。

この機能は段階的に全ての組織へ導入されます。

最近使用されたアプリケーション (GA)

「最近使用した項目」セクションがエンドユーザーダッシュボードとOktaブラウザープラグインの最上部に配置され、より簡単にアプリへアクセスできるようになりました。「最近使用した項目」設定を有効・無効にするには、エンドユーザーダッシュボードの設定ページから設定を変更できます。機能を無効にすると、それまで蓄積したアプリのアクセス情報が失われるのでお気をつけください。

詳細は、 こちらのリンク（英語）をご確認ください。

この機能は段階的に全ての組織へ導入されます。

Generally Available機能改善 (GA)

イベントフックレート制限とシステムログ

system.operation.rate_limit.warningがアップデートされ、組織がイベントフックのレート制限に近づくと、管理者は通知を受けられるようになりました。

system.operation.rate_limit.violationがアップデートされ、組織がイベントフックのレート制限を超えると管理者は通知を受けられるようになりました。

詳細はこちらのリンク（英語）をご確認ください。

OAuthスコープとユーザー同意の同意 (GA)

OAuthスコープの作成・編集画面に新しいオプション「Block services from requesting this scope」が追加されました。このオプションを有効にすると、ユーザーとの直接的な対話をサポートしないサービス間通信（例、OAuth 2.0 クライアント認証フロー）でユーザー同意（consent）を強制することができます。その結果、サービス間通信のリクエストがブロックされます。

「Block services from requesting this scope」 オプションの詳細は、 こちらのリンク（英語）をご確認ください。

OAuthクレーム評価イベントの結合 (GA)

システムの負荷と運用コストを抑えるため、１つのトークンリクエスト（access token/ID token）に対して、app.oauth2.as.evaluate.claimイベントを１度だけ記録するよう仕様が変更されました。

プロビジョニング向けUsernameオプションのUI改善 (GA)

Application username formatプルダウンメニュー項目で選択したオプションが、Create only方式をサポートしない場合、Create onlyが無効化された状態で表示されます。アップデート以前は、非表示になっていました。

セッションの同期化 (GA)

Oktaエンドユーザーダッシュボードを開いている全てのブラウザータブ間でセッションの有効期間情報が共有されます。

サインインウィジェットと非表示項目 (GA)

サインインウィジェット内に配置されているユーザー名とパスワードの入力項目（非表示部）が音声読み上げソフトによって読み上げられないように改善されました。

Oktaは、アクセシビリティを重視した新しいデザインシステム “Odyssey”  を2021年2月に公開しました。目の不自由な方にも快適にサービスをご利用いただけるようなUXデザインを心掛けております。今後ともインクルージョンを配慮した製品開発を続けていきます。

ファイルアップロード ツールチップ (GA)

App Instanceページ上のツールチップのテキスト形式が統一されました。

Early Access 機能

レート制限ダッシュボード (EA)

レート制限ダッシュボードが新たに追加されました。レート制限の警報 (warning)や違反イベント (violation)の原因調査に役立ちます。過去のデータや帯域を大きく消費するIPアドレスを特定することができます。

レート制限ダッシュボードは、以下の用途にご利用いただけます。

• 異常なIPアドレスの特定や隔離
• 警報発生時の迅速な対処
• レート制限違反の原因分析と恒久的な解決策

レート制限違反が発生するとシステムログにイベントが記録されます。イベント情報の中にはレート制限ダッシュボードへアクセスするためのリンクが含まれます。管理コンソールから直接レポートを開くことは現在サポートされていませんが、メール通知やバナー経由でアクセスリンクを取得することもできます。

詳細はをご確認ください。