2023年11月〜2024年1月 (Oktaでは2月から年度開始となっています) の間にリリースした Okta Customer Identity Cloud (powered by Auth0) に関する新機能等のアップデートをまとめてご紹介します。
今回は23件の新機能と、変更や終了に関する1件がありました。その中でも、昨年、EA として提供したパスキーが2024年1月に GA となり、一般提供が開始されました。また、Actions についてはパスワードリセット時のフローやテンプレートの追加など、継続して機能拡張が行われています。さらに エンタープライズ契約を締結いただいているお客様向けにPublic Performance (200RPS) プランや Private Cloud が大阪 AWS リージョンで使用可能になるなど日本を含めたさまざまなお客様のニーズに対応した提供形態が追加されています。
各アップデートの詳細については、リリースの都度更新される Changelogページおよび、各項目からリンクされる製品ドキュメント等をご確認ください。
参考: GAやEAなどのリリース段階について
Okta Customer Identity Cloudは段階的に機能をリリース、または廃止しています。そのためアップデートにはGeneral Availability (GA) や、Early Access (EA) とリリースの段階を表記している場合があります。詳細については製品リリース段階をご覧ください。なお、リリース段階が明記されていない項目については原則General Availability (GA) です。
- Early Access (EA): EA段階のリリースではオプトインでアップデートを利用できます。General Availability (GA) の段階までにマイナーな仕様変更を加える場合があります。また、提供対象についても限定される場合があります。この段階の機能のアクセス方法はアップデートによって異なるため、個別のアップデート情報を確認ください。
- General Availability (GA): GAリリースは機能の対象となるプランを保持している全てのユーザーに対して機能が提供され、運用環境でご利用いただけます。この段階の機能はサポート対象となります。
2023年
11/2: Teams のメンバー一覧に検索を追加
Teams のダッシュボードにあるメンバー一覧で名前やメールアドレスを指定して検索ができるようになりました。
11/3: 本番運用準備度チェック機能の改善
準備度のグラフ表示やチェックを非表示にする Dismiss ボタンなどの追加がされました。
11/7: Actions で指定した種類の MFA をユーザに要求できる機能が GAとなり一般提供を開始
Actions の Login フローに登録したスクリプトで新たに使えるようになった関数 (api.authentication.challengeWith) を使用し、特定の種類の MFA を要求できるようになりました。これまでもログイン時に MFA を要求できましたが、事実上、種類の指定ができませんでした。なお、これまでの関数 (api.multifactor.enable) で要求した場合はユーザが MFA を事前に登録していなければ MFA の登録をするためのページが表示されますが、新しい関数では MFA 登録のページは表示されないため、事前に MFA の登録をしておくことが前提となります。 ※同時期に並行して新しい関数 (api.authentication.enrollWith) が EA となっており、こちらを使うことで特定の種類の MFA を登録するページをユーザに表示できます。
11/8: Adaptive MFA で電話番号の評価結果を情報提供
Actions の Login フローでアクセスできる Adaptive MFA の評価情報にユーザの電話番号について、信頼性や固定電話、携帯電話、トールフリーなどの回線種別などが得られるようになりました。これにより無効あるいは不正な電話番号を使った MFA を求めないように実装しやすくなりました。
11/8: Teams: メンバー管理機能が EA として提供開始
Teams を使って契約に紐づいているテナントにアクセスできるメンバーを管理できるようになりました。 * メンバーの Teams 内の権限をロールで制御 * メンバーがダッシュボードをアクセスできるテナント、ロールを制御
11/9: メルボルン (オーストラリア) と大阪の AWS リージョンでPrivate Cloud を提供開始
Private Cloud のプライマリリージョンや Get HA のセカンダリリージョンとして、オーストラリアのメルボルンや大阪の AWS リージョンを利用できるようになりました。
11/15: OIDC Back-Channel Logout Initiators を EA として提供開始
EA で提供している OIDC Back-Channel Logout を使うと、ユーザをログアウト (セッションを破棄) させるように CIC からアプリケーションに対してリクエストできます。今回追加された機能によりこれまでリクエストが送られていた rp-logout (アプリの1つでログアウトされた)、idp-logout (SAML の外部 IdP でログアウトされた) 以外にも、password-changed (パスワード変更), session-expired (CIC 上のセッションの有効期限切れ) などでもリクエストができるようになりました。
11/16: Okta Customer Identity Cloud と Okta Access Gatewayの連携機能を提供
Okta Access Gateway (OAG) はこれまで Okta Workforce Identity Cloud (WIC) のオプションという形で提供していましたが、Okta Customer Identity Cloud (CIC) とも組み合わせられるようになりました。OAG は SAML や OIDC に対応していないようなアプリケーションや既にリバースプロキシ方式の認証ソリューションを使っているアプリケーションでの認証を WIC や CIC で行わせたい場合に有用なサービスです。OAG を使うことでアプリケーションの改修コストを抑えられる可能性があります。
11/17: Private Cloud をAWS インドネシア ジャカルタ リージョンで提供開始
Private Cloud のデプロイ先に AWS インドネシア ジャカルタ リージョンを 利用できるようになりました。
11/21: MFA 登録チケット作成時に表示言語を指定可能に
エンドユーザに MFA を登録してもらうための Web ページに対して短期間のみ有効な URL を生成する API があります。この API のパラメータで表示する表示言語(ロケール)を明示指定できるようになりました。これまで通り指定しなければ、アクセスしたブラウザのデフォルトの言語が利用されます。
11/23: Support Center において HAR ファイルのセキュリティ対策を実施
Support Center で問い合わせチケットに HAR ファイルを添付した際に、個人情報や秘密情報(キーやトークン)が自動的にサニタイズ(マスキング)されるようになりました。ブラウザ上で処理されてから Okta に送信されます。ただし、ファイルの拡張子が HAR になっていること、圧縮ファイルになっていないことなどの条件があります。
11/30: Teams にテナントの検索機能を追加
Teams のダッシュボードにあるテナント一覧からテナントを検索できるようになりました。
12/8: テナントログに含まれる情報の変更 (Auth0 by Oktaコミュニティフォーラムより)
セキュリティの改善のためテナントのログでは管理 API で生成できるパスワードリセットやメールアドレス確認を目的とした短期間のみ有効な URL を含まないようになりました。
12/14: Actions にパスワードリセットのフローが追加
Actions が新たにパスワードリセットのタイミングでも実行できるようになりました。実際にパスワードリセットする前に MFA の要求や、別ページへのリダイレクトし、追加の本人確認を実施するといった実装が可能になります。
12/15: Actions にテンプレート機能を追加
Action の作成に利用できる44 種類のテンプレートが追加されました。テンプレートを使用し、最初から作成するのではなく、各テンプレートにあらかじめ実装されたコードを必要に応じて修正することで開発時間を短縮できます。
12/18: ダッシュボードのセッション時間を最大12時間に制限
2022 年 10 月に非アクティブ時のセッションタイムアウトが 12 時間に変更されましたが、今回さらにセッションの最大時間が 12 時間に変更されました。そのため、一度ダッシュボードにログインし継続的に使い続けていても 12 時間を経過した場合に再度ログインが必要になります。なお、エンドユーザが利用するアプリケーションのセッション等には変更はありません。
12/18: Teams ダッシュボードのセッション時間を最大12時間に制限
Teams のダッシュボードについてもセッションの最大時間が 12 時間に変更されました。
2024年
1/5: 電話番号登録時における国番号の選択と検索&フィルタ機能の提供
New Universal Login では MFA 用の電話番号を登録する際に、国番号を指定する必要があります。今回、Web Content Accessibility Guidelines (WCAG) 2.2 AA への準拠を目指し、アップデートを行いました。その結果、国番号をリストから選択できるだけではなく、検索、およびフィルタリングが可能になりました。
1/10: SDK で .NET MAUI を使ったアプリのサポート (Auth0 by Oktaコミュニティフォーラムより)
Auth0 .NET OIDC SDK が Xamarin ベースの iOS、Android アプリに加えて、.NET MAUI を使ったモバイルアプリやその他のネイティブアプリもサポートするようになりました。
1/16: Google からのログイン連携時に hd クレームをマッピング
B2B SaaS などで顧客企業の Google Identity/WorkSpace と接続した際に、Google からのトークン内の hd クレームが idptenantdomain クレームとしてマッピングされるようになりました。これにより Google からのログイン時に企業としての接続を使ったログインであるかどうかを簡単に確認できるようになりました。
1/31: パスキー機能が GAとなり、一般提供を開始
パスキー機能が GA になりました。EAからの大きな変更点として、移行モードが有効であればこの機能を Custom Database と併用できるようになりました。
1/31: Inbound SCIM を Limited EAとして提供開始
Inbound SCIM を使うと、例えば B2B SaaS にてエンドユーザ企業の社内 IdP と Enterprise Connections で接続している場合、ユーザのログインを必要とせず、IdPでのユーザー追加・変更・削除が自動的に CIC へ反映できるようになります。Limited EA であるため、お試しいただく場合はお問合せください。
1/31: Highly Regulated Identity を Limited EAとして提供開始
現時点では主に FAPI (Financial-grade API) 1 Advanced と SCA (Strong Customer Authentication) が含まれている Highly Regulated Identity (HRI) 機能が Limited EA になりました。お試しいただく場合はお問合せください。
1/31: Public Performance (200RPS) の提供開始
エンタープライズ契約の締結いただいているお客様向けにPublic Cloud の新しい上位のサブスクリプションとして Public Performance (2X, 200RPS) の提供が開始されました。この新しいサブスクリプションは認証 API のリクエストレートの基本値である 100 rps に加え、1 ヶ月合計48時間を上限として 200 rps まで制限を緩和し、短期間の急なアクセス増加に対応できます。
以上、24 件が2024年第 4 四半期にリリースさせて頂いた主なアップデートになります。最新のアップデートは、Changelog の更新を下記のフィードをご登録いただくことで受け取ることもできます。
今後も Okta Customer Identity Cloud (powered by Auth0) のアップデートにご期待ください。
