Okta 新機能のお知らせ(2021年5月版)

本ブログでは、2021年5月に発表された Okta の主要な最新機能についてご紹介いたします。最新のリリースノート(英語版)につきましては、こちらのページよりご覧ください。

Generally Available 機能

Okta Sign-In ウィジェット v5.6.2

Okta Sign-In ウィジェット v5.6.2

ブラウザー プラグイン v5.45.0 (全ブラウザー対応)

Okta ブラウザー プラグインが主要なブラウザー全てに対応する
ようになりました。

ブラウザー プラグイン v5.45.0 (全ブラウザー対応)

以上に加え、新たに以下のアップデートが行われています。

  • 「最近使用した項目」セクションが Okta プラグインに表示されるようになりました。
  • エンドユーザーダッシュボードの設定を変更して、「最近使用した項目」セクションを非表示に設定することができるようになりました。
  • プラグインのロード時間が短縮されました。
  • プラグインのデザインやイメージが改善されてます。

Okta ブラウザー プラグインの更新履歴については、こちらよりご確認ください。

エージェントレス DSSO 認証進捗画面のアップデート

エージェントレス デスクトップ Single Sign-On (ADSSO) 認証の進捗スクリーンがアップデートされました。今までは認証中のステータスが文字で表示されていましたが、進捗インジケータが使われるようになりました。これにより、ユーザー の認証体験が向上します。

グループ プッシュマッピングの改善

管理者がグループプッシュのマッピングを作成する時、リンク対象に指定するグループのメンバシップ情報が他のアプリケーションからインポートされている場合、それらのユーザーが Okta からソースされているユーザーとして見なされるようになりました。この改善により、Okta とプッシュ先のアプリケーション間でメンバーシップ情報の整合性が保たれるようにます。

グループ プッシュマッピングの改善

グループ管理の詳細はこちらよりご確認ください。

新しい “Select assignments to convert” 画面

Select assignments to convert 画面が管理者コンソールへ追加されました。これにより、アプリケーションへ個別に追加されたユーザーのリスト確認や検索といった作業が容易になるだけでなく、グループ単位へ変換する作業の操作性が大幅に向上します。アプリケーションへのアクセスコントロールは極力グループ単位で管理したいものですが、ユーザーごとに割り当てなければいけないケースが存在します。そのようなケースが増えてくると、変換先のグループの特定や変換の可否を診断する作業も難しくなります。この作業を容易にする工夫も組み込まれています。

新しい “Select assignments to convert” 画面

個別ユーザーをグループ単位へ変換する機能の詳細は、こちらのリンクよりご確認ください。

LDAP インターフェイス サインオン ポリシー

サインオンポリシーを作成する際、LDAPインターフェイス経由で認証するユーザーに限定したルールを作れるようになりました。この変更により、LDAPインターフェイス以外の認証方式を除外することができるようになり、ルールが煩雑になるのを抑えることができます。

LDAP インターフェイス サインオン ポリシー

詳細はこちらのリンクより。

Generally Available 機能改善

OAuth リフレッシュトークンのイベント詳細

System Log イベントが OAuth リフレッシュ・トークンの種類(Persistent vs Onetime)を表示できるようになりました。アプリケーションの構成画面にて Rotate を選択すると、アクセストークンを取得するたびに新しいリフレッシュトークンが発行されます。その場合、Refreshtokentype項目には onetime が出力されます

OAuth リフレッシュトークンのイベント詳細

OAuth リフレッシュトークンのイベント詳細

システムログデバッグ項目の仕様変更

System Log の Advanced Filters の仕様が変わり、Contains 演算子が以下のエントリーに対して使えなくなりました。

  • debugContext.debugData.url
  • debugContext.debugData.requestUri

より安定したサービスを提供するために必要な仕様変更となります。何卒ご理解、ご協力をお願いします。

システムログデバッグ項目の仕様変更

actionId 項目が System Log へ追加

代理認証(Delegated Authentication)に関わるトラブルシュートを容易にするため、Okta Active Directory エージョンが実施したアクションを識別するための actionId項目を Sytem Log へ追加しました。これとは別に agentId 項目も存在します。複数の中から固有のエージェントを特定するためにご活用ください。

actionId 項目が System Log へ追加

System Logの詳細はこちらよりご確認ください。

Initiate Login URI項目のへルプテキスト追加

カスタムアプリケーションの General タブにInitiate login URI 項目が配置されてます。この項目に対して、インラインヘルプテキストが追加されました。Initiate login URI 項目には、認証フローの起点となるURIを指定します。例えば、http://localhost:8080/loginといった値になります。エンドユーザーがダッシュボード上に配置された該当アプリをクリックすると、Oktaは認証リクエストをInitiate login URI 項目で指定したエンドポイントへ送信します。

Initiate Login URI項目のへルプテキスト追加

パスワードのヘルスレポート改善

パスワードのヘルスレポートにある日時欄の表示形式がISO 8601 (YYY-MM-DD hh:mm:ss )に対応しました。CSVファイル内の日時情報が分かりやすくなり、UTC形式から日本時刻への変換する作業も容易になります。

パスワードのヘルスレポート改善

認可コードの有効期間の延長

OAuth 認可コードの有効期間が1分から5分へ延長されました。認可コードとは、認可サーバーより発行される有効期間の短いトークンです。ユーザーは有効期間内にアクセストークンと交換する必要があります。交換時間が1分だと短いケースがあったりすることから延長されました。将来的には、ユーザーが自由に認可コードの有効期間を決められるようになることが理想的です。なお、アクセストークンの有効期間はアプリごとに設定可能です。

認可コードの有効期間の延長

参照リンク:https://datatracker.ietf.org/doc/html/rfc6749#section-1.3.1

アクセストークンの有効期間を変更する方法は、こちらのリンクよりご確認ください。

Early Access 機能

グループ プロファイルの作成と管理

Okta グループのデフォルト プロファイルを作成できるようになりました。プロファイルの編集にはプロファイル エディターをご利用ください。この新機能により、より簡単にグループ管理ができるようになるだけでなく、カスタム属性をグループへ追加することができるようにもなりました。なお Okta グループ以外のグループ(例、Active Directory)に対してプロファイルを作成することはできません。今後、グループの汎用性がより向上していくのが楽しみです。

グループ プロファイルの作成と管理

Early Access 機能改善

Okta 管理者コンソールのグループページの改善

Okta 管理者コンソールのグループページが更新されました。大量のユーザーを手軽にグループに追加できるように操作性が向上しています。また全てのユーザーが誤ってグループから削除されることがないような対策も施されてます。ユーザーの検索速度が向上している点もご確認ください

Okta 管理者コンソールのグループページの改善