2024年2月〜2024年4月 (Oktaでは2月から年度開始となっています) の間にリリースした Okta Customer Identity Cloud (powered by Auth0) に関する新機能等のアップデートをまとめてご紹介します。
今回はちょうど前回と同じ23件の新機能と、変更に関する1件がありました。先に、特にご紹介したい 4 件をまずピックアップさせて頂きます。
- 2/14 Auth0 Teams が GA
- 2/26 サインアップとサインインのカスタマイズが GA
- 2/28 Okta Fine Grained Authorization (FGA) が GA
- 3/21 日本とオーストラリアリージョンのパブリッククラウドが冗長構成に、それに伴い利用 IP アドレス追加
2/14 Auth0 Teams が GA
CIC では契約に応じて複数のテナントを利用できます。Auth0 Teams でそれらのテナントを横断して以下のような管理ができます。なお、Private Cloud ではまだ機能が限定されていますが、今後拡張される予定です。
- 同じ契約下にある全てのテナントを確認
- テナントを管理できるメンバーの設定
- 新しいテナントを作成できるメンバーの制限
- セキュリティポリシー (現時点では SSO ログイン)
- 契約の管理 (現時点ではライセンスの利用状況の確認)
- 4 半期毎のレポート
2/26 サインアップとサインインのカスタマイズが GA
ユーザ登録やログイン時のフォームに説明や入力項目などを追加することができるようになりました。入力された項目は Auth0 Actions の Post Login に連携され、ユーザのメタデータなどに保存することができます。これにより、ユーザ登録時に姓名なども一緒に登録してもらうことができるようになりました。設定は API から実施する必要があります。
便利な機能ですが、ユーザ登録時に入力が必要な項目数が増えれば増えるほど、登録を離脱してしまうお客様がおられますので、よく考慮していただければと思います。
2/28 Okta Fine Grained Authorization (FGA) が GA
Okta FGA は Okta が新たに提供を始めた認可のためのサービスです。独立したサービスで、Okta Customer Identity Cloud (powered by Auth0) と組み合わせて使うことはもちろんのこと、他の認証サービスと組み合わせて使うことも可能です。このサービスを使うことで、リソース単位のきめ細かな認可を実現したり、複数のアプリケーションを横断して認可を中央制御したりできます。今回 GA しましたので、本番システムにご利用いただけるようになりました。
3/21 日本とオーストラリアリージョンのパブリッククラウドが冗長構成に、それに伴い利用 IP アドレス追加
日本とオーストリアのパブリッククラウドが AWS の複数アベイラビリティゾーンを使った冗長化に加え、複数リージョンを使った冗長構成 (Geo HA) に拡張されました。これにより大規模な災害が発生した場合のサービス継続が期待できます。日本リージョンでは東京リージョンに加え、大阪リージョンが使用されます。
これに伴い、サービスが利用する外部向けに利用する IP アドレスが追加されました。通信許可のために IP アドレスを登録しているような場合は、切り替えが行われたときに備えリストの更新をお願いします。
以上、各アップデートの詳細については、リリースの都度更新される Changelog ページおよび、各項目からリンクされる製品ドキュメント等をご確認ください。
参考: GAやEAなどのリリース段階について
Okta Customer Identity Cloudは段階的に機能をリリース、または廃止しています。そのためアップデートにはGeneral Availability (GA) や、Early Access (EA) とリリースの段階を表記している場合があります。詳細については製品リリース段階をご覧ください。なお、リリース段階が明記されていない項目については原則General Availability (GA) です。
- Early Access (EA): EA段階のリリースではオプトインでアップデートを利用できます。General Availability (GA) の段階までにマイナーな仕様変更を加える場合があります。また、提供対象についても限定される場合があります。この段階の機能のアクセス方法はアップデートによって異なるため、個別のアップデート情報を確認ください。
- General Availability (GA): GAリリースは機能の対象となるプランを保持している全てのユーザーに対して機能が提供され、運用環境でご利用いただけます。この段階の機能はサポート対象となります。
今期のその他のアップデート
2/1 Private Cloud でダッシュボードでの非アクティブ時のセッションタイムアウト、最長セッション期間が変更可能に
昨年ダッシュボードの非アクティブ時のセッションタイムアウトや最長セッション期間が 12 時間に変更されましたが、Private Cloud ではサポートに依頼頂くことで設定を変えることが可能になりました。
2/1 Auth0 Organizations 利用時に Connection のボタンを非表示可能に
Organization が指定されてユーザがログインする際に、割り当てられた Enterprise Connection のボタンを表示するかしないかを選択できるようになりました。
Home Realm Discovery の機能を使うと、ユーザが入力したメールアドレスのドメインに応じた Enterprise Connection を使ったログインが開始させることができきます。このような時にはログイン時にボタンを表示させたくない場合があります。これを Organization 単位で制御できるようになりました。
2/2 ダッシュボードへのログインに MFA が必須に
ダッシュボードのログインに MFA が必須になりました。設定されていない管理者の方がログインしようとすると、MFA の登録が求められます。なお、ソーシャルログインのユーザは MFA を求められません。
2/7 ボット検知で Captcha を使わない Auth Challenge が EA
ボット検知機能のチャレンジ方法に EA として Auth Challenge が追加されました。Captcha は使わずに判定する仕組みとなっており、ユーザの体験を損なうことがほとんどありません。通常はクリックする必要もありませんが、ボットと疑われた場合も単にクリックするだけとなっています。
Simple Captcha のように CIC 単独の機能として提供されており、サードパーティのサービスの設定や料金支払いもなく利用できます。
2/9 OIDC Back-Channel Logout Initiators が GA
OIDC Back-Channel Logout をどういった時にアプリケーションに通知するかを制御できる OIDC Back-Channel Logout Initiators が GA となりました。EA の時より対象にできるイベントの種類が増えて、以下の通りとなっています。
- ログインに使った IdP でログアウトされた (必須)
- いずれかのアプリでログアウトされた (必須)
- パスワードが変更された
- セッションの有効期限切れ
- アカウントが削除された
- メールアドレスが変更された
2/9 ダッシュボードのセッションが ASN と紐付け
ダッシュボード上のセッションがユーザの使用しているネットワークの ASN (Autonomous System Mumber, インターネット内のプロバイダー等同士でルーティングするのに使われる番号) と紐づけられるようになりました。ダッシュボードにアクセスした時にセッションが残っていても、ASN が異なる場合、再度ログインが必要となります。これにより、万が一 Cookie が盗難されたような事があっても悪用される可能性が低くなります。
2/14 ダッシュボードへの招待をセキュリティ強化
ダッシュボードで、テナントの管理者が他のメンバーを紹介するには自身のメールアドレスが検証済みであることが条件になりました。この条件はパスワードでログインしているユーザにのみ適用されます。
2/22 MFA の Duo Security で使用している SDK がバージョンアップ
サポートしている MFA の 1 つである Duo Security を CIC が使うときに、Duo Web SDK V2 を使っていましたが、V4 がサポートされました。Cisco による SDK サポート期限のため、3月30日までは新バージョンを使うか選択可能ですが、それ以降は自動的に新バージョンが使用されます。
2/26 ログの schema を公開
ログにどのようなタイプがあり、どのような項目が含まれているかの schema を公開されました。
2/28 新しいセッション管理、リフレッシュトークン管理の API
ユーザに発行されているセッションやリフレッシュトークンを確認したり無効化できる API がリリースされました。セッション管理の API は GA で、リフレッシュトークン管理 API は EA です。アプリケーションはこれらの API を使うことで、ユーザに発行済みのセッション一覧を表示したり、削除する機能を提供することができ、より高いセキュリティを提供できるようになります。
3/13 Guardian App への登録を QR コード以外でも
サポートしている MFA の 1 つである Guardin App や Guardian SDK を使ったスマホアプリを MFA として使うための登録には QR コードをカメラで読み込む必要がありましたが、文字列のコードを入力することでも登録できるようになりました。アプリケーションにも Guardian にも同じ 1 台のスマホを使おうとしても QR コードの読み込みができ無いため、2 台を使い分ける必要がありましたが、これにより 1 台でも登録できます。
3/19 Auth0 Actions の中で指定した種類の MFA 登録をユーザに要求できる機能が GA
Auth0 Actions の Login フローに登録したスクリプトで新たに使えるようになった関数 (api.authentication.enrollWith) を使うことで、特定の種類の MFA 登録をログイン時に要求できるようになりました。昨年11月に GA となった特定の種類の MFA を要求できる関数 (challengeWith) と対になっています。
4/8 WCAG 2.2 AA 準拠が EA
Web Content Accessibility Guidelines (WCAG) 2.2 レベル AA 準拠するように変更する機能が EA となりました。有効にするにはダッシュボードや API で有効にする必要があります。
4/15 FGA にモジュラー化されたモデル
Okta FGA でモデルの定義をモジュールという単位で分割して行えるようになりました。システムやプロジェクトなどに分かれてモデル定義をしやすくなります。
4/15 FGA で Java Spring Security を活用するための ライブラリを提供
このライブラリを利用すると Java Spring Security 機能を利用して、アノテーションで特定の機能の呼び出しに特定の権限が必要とフレームワークの機能で指定でき認可制御できます。
4/16 iOS のプライバシーマニフェストを追加
iOS 用の SDK や Guardian App に、Apple Store への提出に必要となったプライバシーマニフェストを追加しました。マニフェストには収集されるデータの種類、データの使用方法、第三者との共有の有無に関する詳細が含まれます。
4/16 EA 中の WCAG 2.2 AA 準拠が更新
Web Content Accessibility Guidelines (WCAG) 2.2 レベル AA 準拠に向けて、メールアドレス検証、ラベル、パスワードの複雑さの要件、エラーメッセージ、ページタイトル、必須フィールドの明示などに関して、アクセシビリティの改善を行いました。
4/24 FGA で複数のクレデンシャルを作成可能に
Okta FGA の API にアクセスするためのクレデンシャルは 1 つしか作成できませんでしたが、複数作成できるようになり、権限も 3 種類付与できるようになりました。
4/26 変更: クロスオリジン認証に関して
セキュリティ改善のため、アプリケーションを新規に作成するとクロスオリジン認証 (Cross-origin authentication) はデフォルトでは無効の設定となる予定です。また、管理 API のレスポンスにおける項目名も変更されるため、項目名に依存する実装があれば対応が必要です。クロスオリジン認証はログインページを独自ページに組み込む際に利用されることがあり、Universal Login では使用されません。詳細はコミュニティ記事を確認ください。
4/30 JWT Access Token プロファイルが EA
JWT 形式のアクセストークンの内容を JSON Web Token (JWT) Profile for OAuth 2.0 Access Tokens (RFC 9068) に沿ったものに切り替えられる機能が EA になりました。現時点では API からのみ設定が可能です。
以上、24 件が2024年第 1 四半期にリリースした主なアップデートになります。最新のアップデートは、Changelog で随時紹介しており、下記のフィードをご登録いただくことで通知を受け取ることもできます。
今後も Okta Customer Identity Cloud (powered by Auth0) のアップデートにご期待ください。