Okta 新機能のお知らせ(2021年6月版)

本ブログでは、2021年6月に発表された Okta の主要な最新機能についてご紹介いたします。最新のリリースノート(英語版)につきましては、こちらのページよりご覧ください。

Generally Available 機能

Okta Sign-In ウィジェット v5.7.0 (GA)

MFA クレデンシャルプロバイダー(Windows 専用) v1.3.1 (GA)

MFA クレデンシャルプロバイダー(Windows 専用)v1.3.1 では、脆弱性対策の強化に加え、バグ修正や機能改善が追加されました。さらに、サポート対象のOSとしてWindows 2019 が追加されています。

Active Directory をホスティングするWindows サーバーは、不正アクセスやランサムウェア攻撃の標的となります。サーバーへの不正侵入を確実に防ぐため、Windows サーバー群への MFA 導入を推奨いたします。なお、MFA 以外のサーバー保護機能を提供する製品として Okta アドバンストサーバーアクセスもございます。

バージョン履歴やインストール手順については、こちらのリンクよりご確認ください。

Okta Device Registration Task v1.3.1 (GA)

Device Registration Task v1.3.1 が Pythons 3 に対応しました。macOS 10.15.xx (Catalina) 以降でデバイストラストを安定的にご利用いただくためには、最新の Device Registration Task を使ってシステムを構成する必要があります。Python 2 ベースの古いスクリプトを使用した場合、デバイスの登録に失敗したり、Keychain へのアクセス許可が繰り返し求められるという事象が発生します。

管理者コンソールの Settings > Downloads メニューより最新バージョンをダウンロードできます。

デバイストラストの詳細は以下のリンクをご覧ください。

LDAP インターフェイス SSO ポリシー (GA)

サインオンポリシーを作成する際、LDAP インターフェイス経由で認証するユーザーに限定したルールが作れるようになりました。この変更により、SSO ポリシーを LDAP インターフェイスにのみ適用したり、LDAP以外の認証方式をポリシーから除外することが簡単にできるようになりました。ルールが煩雑になるのを抑える効果が期待できます。

詳細はこちらのリンクよりご確認ください。

インポートセーフガードとイベントフック (GA)

インポート セーフガードイベントが イベントフックとして利用できるようになりました。これにより管理者は、インポートセーフガード発動時のイベントをトリガーとして外部システムへ通知を送ることができます。

詳細は以下のリンクをご覧ください。

アプリケーション統合ウィザード(AIW)の改善 (GA)

アプリケーション統合ウィザード(AIW)の利便性が向上しました。Application ページと Browse App Integration Catalog ページのどちらからでも AIW へアクセスできます。認証方式やプラットフォームなどの選択手順を簡素化することで、無駄な入力を省きました。

ウィザード内のヘルプヒントも分かり易くなり、ドキュメンテーションの参照や定義の確認が必要なくなりました。

また、グループへの割り当てや Trusted Origin の設定がウィザード内で完結できるようになったことで、さらなる時間の短縮を実現しました。

詳細は Create a new Okta app をご覧ください。

エージェントレス DSSO と IWA のポーリングサポート (GA)

エージェントレスデスクトップシングルサインオン(ADSSO)と統合 Windows 認証(IWA)の認証セッションがポーリングをサポートしました。従って帯域を大幅に消費するピーク時においてサービス中断が発生する可能性を抑えることができます。

ユーザー認証にADSSSもしくはIWAをご利用の場合、ピーク時のサーバーの稼働率と認証リクエストの処理能力を向上させることができます。

DSSO の詳細は こちらのリンクをご覧ください。

Okta Verify がリスクベース認証をサポート (GA)

Okta Verify (プッシュ通知) がリスクベース認証に対応しました。この新機能により、エンドユーザーが組織にサインインして Okta Verify で認証を行う際、管理者はリスクレベルの評価ができるようになります。

以上に加え、リスクが高いと判断される認証が生じた時には(中間者攻撃を受けやすいと判断された場合)、Okta Verify (プッシュ通知)のモードが自動的にナンバーチャレンジへ切り替わります。このようにリスクベース認証と Okta Verify を組み合わせることで、リスクに応じた柔軟な防御措置を取ることができます。

詳細は以下のリンクをご覧ください。

この機能は段階的に全ての組織へ導入されます。

RADIUS が EAP-TTLS プロトコールをサポート (GA)

RADIUS エージェントが EAP-TTLS 認証プロトコールをサポートしました。

まだ PAP 認証(単体)が広く使われております。EAP-TTLS と PAP 認証を併用することで、PAP 認証の弱点を補うことができます。今後 EAP-TTLS  に対応したネットワーク機器が普及するにつれ、より多くのお客様にご利用いただける機能となります。

Radius連携でサポートされる MFA の種類については、こちらのリンクをご確認ください。

この機能は段階的に全ての組織へ導入されます。

最近使用されたアプリケーション (GA)

「最近使用した項目」セクションがエンドユーザーダッシュボードとOktaブラウザープラグインの最上部に配置され、より簡単にアプリへアクセスできるようになりました。「最近使用した項目」設定を有効・無効にするには、エンドユーザーダッシュボードの設定ページから設定を変更できます。機能を無効にすると、それまで蓄積したアプリのアクセス情報が失われるのでお気をつけください。

詳細は、 こちらのリンクをご確認ください。

この機能は段階的に全ての組織へ導入されます。

Generally Available 機能改善 (GA)

イベントフックレート制限とシステムログ

system.operation.rate_limit.warning がアップデートされ、組織がイベントフックのレート制限に近づくと、管理者は通知を受けられるようになりました。

system.operation.rate_limit.violation がアップデートされ、組織がイベントフックのレート制限を超えると管理者は通知を受けられるようになりました。

詳細はこちらのリンクをご確認ください。

OAuth スコープとユーザー同意の同意 (GA)

OAuth スコープの作成・編集画面に新しいオプション「Block services from requesting this scope」が追加されました。このオプションを有効にすると、ユーザーとの直接的な対話をサポートしないサービス間通信(例、OAuth 2.0 クライアント認証フロー)でユーザー同意(consent)を強制することができます。その結果、サービス間通信のリクエストがブロックされます。

「Block services from requesting this scope」 オプションの詳細は、 こちらのリンクをご確認ください。

OAuth クレーム評価イベントの結合 (GA)

システムの負荷と運用コストを抑えるため、1つのトークンリクエスト(access token/ID token)に対して app.oauth2.as.evaluate.claim イベントを1度だけ記録するよう仕様が変更されました。

プロビジョニング向け Username オプションのUI改善 (GA)

Application username format プルダウンメニュー項目で選択したオプションが Create only 方式をサポートしない場合、Create only が無効化された状態で表示されます。アップデート以前は、非表示になってました。

セッションの同期化 (GA)

Okta エンドユーザーダッシュボードを開いている全てのブラウザータブ間でセッションの有効期間情報が共有されます。

サインインウィジェットと非表示項目 (GA)

サインインウィジェット内に配置されているユーザー名とパスワードの入力項目(非表示部)が音声読み上げソフトによって読み上げられないように改善されました。

Oktaは、アクセシビリティを重視した新しいデザインシステム “Odyssey”  を2021年2月に公開しました。目の不自由な方にも快適にサービスをご利用いただけるような UX デザインを心掛けております。今後ともインクルージョンを配慮した製品開発を続けていきます。

ファイルアップロード ツールチップ (GA)

App Instance ページ上のツールチップのテキスト形式が統一されました。

Early Access 機能

レート制限ダッシュボード (EA)

レート制限ダッシュボードが新たに追加されました。レート制限の警報 (warning) や違反イベント (violation) の原因調査に役立ちます。過去のデータや帯域を大きく消費するIPアドレスを特定することができます。

レート制限ダッシュボードは、以下の用途にご利用いただけます。

  • 異常なIPアドレスの特定や隔離
  • 警報発生時の迅速な対処
  • レート制限違反の原因分析と恒久的な解決策

レート制限違反が発生するとシステムログにイベントが記録されます。イベント情報の中にはレート制限ダッシュボードへアクセスするためのリンクが含まれます。管理コンソールから直接レポートを開くことは現在サポートされていませんが、メール通知やバナー経由でアクセスリンクを取得することもできます。

詳細はこちらのリンクをご確認ください。