Okta 新機能のお知らせ(2021年9月版)
シニア カスタマー サクセス マネージャー
本ブログでは、2021年9月に発表された Okta の主要な最新機能についてご紹介いたします。最新のリリースノート(英語版)につきましては、こちらのページよりご覧ください。
Generally Available 機能
Okta Sign-In ウィジェット v5.10.1 (GA)
今回のバージョンアップでは、以下の点が変更されています。
- stylelint を v13.13.1 に更新
- dyson を v4.1.0 に更新
- karma-coverage を更新
- README を更新
- vscode のための launch json を追加
- codeowners を更新
リリース履歴の詳細は、こちらのリンクをご覧ください。
ウィジェットの詳しい説明は、Okta Sign-In Widget Guide をご覧ください。
MFA クレデンシャルプロバイダー(Windows 専用) v1.3.3 (GA)
今回のバージョンでは、セキュリティ上の脆弱性に対する強化が含まれます。
リリース履歴の詳細は、Okta MFA Credential <
Provider for Windows Version History をご覧ください。
新しいデバイスを検出する方式を改善 (GA)
デバイス信号の識別方式を強化することで、新しいデバイスを検出する精度が向上しました。クッキーを保存しないウェブブラウザーを搭載したデバイスは、新しいデバイスとして認識されます。アプリケーションが信頼されるためには、各デバイス固有の識別子をデバイストークンとして送信する必要があります。
この機能はすべての組織で利用可能となります。
詳細は、Behavior detection をご確認ください。
Generally Available 機能改善 (GA)
ThreatInsight のデフォルト設定を監査モードへ変更 (GA)
ThreatInsight のデフォルト設定が監査モードへ変更になりました。これまでの動きとしては、監査モードもしくはブロックモードのどちらかを手動で有効にしない限り、イベントが記録されることはありませんでした。今回の変更により、新しい組織のデフォルト設定が監査モードに変更されたことから、悪意あるリクエストが検出されると security.threat.detected イベントがデフォルトで記録されるようになります。この変更は、新しく作成された組織にのみ適用されます。
ThreatInsight の詳細は、ThreatInsight をご覧ください。
PagerDuty SSO と EU ドメインのサポート (GA)
PagerDuty の SSO を設定する際、Organization Subdomain の代わりに Base URL を入力するように仕様が変更されました。この変更により、EU ドメインをお持ちのお客様は、URL を入力することで SSO を設定することができます。
モバイル向けエンドユーザーダッシュボードのアイコン更新 (GA)
お気に入りリストやブラウザー画面上に表示されるファビコン(favicon)が、モバイルユーザー向けに更新されました。
Early Access 機能 (EA)
カスタム管理者ロール (EA)
デフォルトで提供されている標準的な管理者ロールでは、企業が求める厳しい委任管理の要件を満たせないことがあります。そのため、管理者が必要以上の権限を持ったり、必要以下の権限しか与えられなかったりします。
カスタム管理者ロール機能を導入することで、Okta 管理者は以下のことができるようになります。
- ユーザ、グループ、およびアプリケーションレベルで細分化したオペレーション権限をロールとして管理者に割り当てる。
- 作成されたロールに対してリソースセットを適用することでオペレーションの対象範囲を制限する。
カスタム管理者ロールを使用するメリットは、以下の通りです。
- 管理者の生産性向上
- 管理者業務の分離と分散
- 関連部門へ権限を委譲することで自律性を確立
カスタム管理者ロールの詳細は、Custom Administrator Roles をご覧ください。
管理者コンソール画面がブランディング機能をサポート (EA)
Okta Brands API が2021年8月に EA リリースされました。今回の変更により、管理者コンソール画面からブランディング機能が利用できるようになりました。これにより管理者や開発者は、APIを使用することなく、自社ブランド素材のアップロードや各種ページをカスタマイズできるようになります。
管理者コンソール画面左端のナビゲーションのトップレベルに「カスタマイズ」メニューが表示されるようになり、ブランディング関連の設定オプションはすべてその下に格納されます。また、「Setting」→「Appearence」タブが削除され「カスタマイズ」タブの下に関連機能が集約されたことで、操作性が向上しました。
ブランディング機能の詳細は、Branding を参照してください。
OIN ShareFile が REST OAuth をサポート (EA)
ShareFile 連携の最新バージョンがリリースされました。最新版では、安全性の高い OAuth が認証やプロビジョニング、更にはインポート処理において採用されています。必要に応じてアップグレードをご検討ください。
アップグレードの詳細は、Configure ShareFile OAuth and REST integration をご覧ください。
アプリケーションのソート機能 (EA)
新しい Okta エンドユーザーダッシュボードに対してソート機能を追加することができます。この機能を使うと、エンドユーザーは、画面上に配置されているアプリケーションを「名前の昇順・降順」もしくは「最後に追加」された順に並び替えできるようになります。
OAuth 発行者(issuer)の動的選択モード (EA)
認可サーバーが発行するトークンに含まれる発行者(issuer)URL 情報は、発行元のトークンの身元を確認するために使用されます。発行者 URL には、Okta のサブドメイン(company.okta.comなど)もしくはカスタムドメイン(sso.company.comなど)のいずれかが設定されます。
サブドメインとカスタムドメインの両方がアプリケーション群で参照されている場合、発行者情報がいずれかのドメインでハードコードされているため、検証プロセスが失敗することがあります。
発行者の動的選択モードを有効にすると、最初の認可リクエストを開始する際に使用された URL に基づいて、トークンに含まれる発行者情報が動的に更新されます。例えば、認可リクエストがhttps://sso.company.com/api/v1/authorize の場合、発行者情報に https://sso.company.com を含むトークンが発行されます。
発行者の動的選択モードは、以下のユースケースで便利です。
- デプロイメントを分割したい。
- サブドメインからカスタムドメインに移行したい。
- 複数のカスタムドメインに対応したい。