2024年5月〜2024年7月 (Oktaでは2月から年度開始となっています) の間にリリースした Okta Customer Identity Cloud (powered by Auth0) に関する新機能等のアップデートをまとめてご紹介します。
今回は 30 件の新機能やアップデートと、1 件の変更がありました。先に、特にご紹介したい 3 件をまずピックアップさせて頂きます。
- 5/7:Forms for Actions が EA
- 5/22:Highly Regulated Identity (HRI) が GA
- 6/26:リファレンスアプリケーション SaaStart の公開
5/7:Forms for Actions が EA
新機能 Forms for Actions が早期アクセス (EA) として使えるようになりました。これまでユーザーのログイン時に追加の情報を登録してもらいたい時や更新された利用規約の同意をしてもらいたい時には、そのための Web ページを独自に実装頂き、Auth0 Actions でリダイレクトしてユーザーに表示して頂いていました。この場合お客様はコード開発を伴う実装や Web ページを配置するサーバなどが必要でした。Forms for Actions を使うと NoCode で情報登録やユーザー同意のためのフォームを実装でき、Okta Customer Identity Cloud でホストされるため、必要な開発運用コストを削減いただけます。テンプレートは英語となっていますが、日本語に変更することやユーザーの言語に合わせた言語で表示するもできます。
なお Forms for Actions は GA 後、Auth0 Actions とあわせて今後ご契約のサブスクリプションやアドオンに応じて利用数や使える機能が異なる機能となります。詳細は料金ページ等をご参照ください。
5/28:Highly Regulated Identity (HRI) が GA
Highly Regulated Identity (HRI) 機能の一般提供 (GA) を開始しました。OpenID Foundation によって定義された FAPI v1 Advanced に含まれているセキュリティ仕様を Enterprise プランのアドオンとして提供します。具体的には Rich Authorization Requests (RAR)、Pushed Authorization Requests (PAR)、JWT-Secured Authorization Request (JAR) のサポートが含まれています。また mTLS for OAuth、JSON Web Encryption (JWE) のサポートも始まっています。 HRI によりお客様はセキュリティをさらに高め、ヨーロッパの決済サービス指令 (PSD2) の Strong Customer Authentication 要件に準拠することもできます。
6/26 リファレンスアプリケーション SaaStart の公開
Next.js を使って構築したリファレンスアプリケーション SaaStart を公開しました。B2B SaaS アプリケーションを開発する開発者が Okta Customer Identity Cloud を調査、実験、運用するためにすぐ使えます。
https://saastart.app/ にホストされており、ソースコードは GitHubリポジトリに公開されています。
以上、各アップデートの詳細については、リリースの都度更新される Changelog ページ および、各項目からリンクされる製品ドキュメント等をご確認ください。
参考: GA や EA などのリリース段階について
Okta Customer Identity Cloud は段階的に機能をリリース、または廃止しています。そのためアップデートには 一般提供 (General Availability, GA) や、早期アクセス (Early Access, EA) とリリースの段階を表記している場合があります。詳細については製品リリース段階をご覧ください。なお、リリース段階が明記されていない項目については原則、一般提供 (General Availability, GA) です。
- 早期アクセス (Early Access, EA): EA 段階のリリースではオプトインでアップデートを利用できます。GA の段階までにマイナーな仕様変更を加える場合があります。また、提供対象についても限定される場合があります。この段階の機能のアクセス方法はアップデートによって異なるため、個別のアップデート情報を確認ください。
- 一般提供 (General Availability, GA): GA リリースは機能の対象となるプランを保持している全てのユーザーに対して機能が提供され、運用環境でご利用いただけます。この段階の機能はサポート対象となります。
今期のその他のアップデート
5/2:Teams でユーザーを招待する前にメールアドレス検証済みになっていることが必要に
5/24 から、Temas のダッシュボードでユーザーを招待する際に、招待する側のアカウントがメールアドレス検証済みになっていることが必要になります。
5/3:Teams: ログ機能 Team Activity が EA
Teams でユーザーを招待したり、セキュリティポリシーを変更したなどのログを確認できるようになりました。
5/7:ボット検知機能の精度改善
4世代目のボット検知機能がリリースされました。機械学習のアーキテクチャ改善やサードパーティのボット情報のモデルへの取り込みが行われており、誤検知の増加を抑えつつ最大25%のボット検知率向上が見込まれています。
既にボット検知を有効にされているお客様はリリース後数週間で自動的に改善が反映されています。
5/8:ボット検知で新しいタイプの Auth Challenge が GA
ボット検知で従来の CAPTCHA の代わりとなる新しいタイプのチャレンジ Auth Challenge が追加され GA となりました。このタイプはユーザーにストレスのかかる読みにくい字を判読したり、絵を選択するなどの CAPTCH を使わずに、ページを開くだけで確認が完了する不便さの少ない仕組みとなっています。また、GA に伴いこのタイプがボット検知でのデフォルト設定となりました。
5/8:Self-Service プランの改善
Web からご契約頂ける Self-Serviceプラン (Essentials / Professionals プラン) について主に以下の改善が行われました。
- B2B Professional プランにおいてエンタープライズ接続の上限数が 3 から 5 に引き上げられました。
- B2B Professional プランにおいて エンタープライズ MFA Lite(エンタープライズ MFA で利用できる多要素認証の一部の種類を最大 1 種類に限定して利用可能になる)オプションを追加購入できるようになりました。
5/22:Flexible Identifiers が EA
ユーザーがログイン時に入力する ID の形式を柔軟に決められるようになりました。これまで Okta Customer Identity Cloud で認証するユーザー(Database Connection を使って認証するユーザー)は、メールアドレスは必須の ID でユーザー名はオプションで有効にできるという仕様でした。今後はメールアドレス、電話番号、ユーザー名のうち 1 つ以上を選んで ID とすることができます。ユーザーがメールアドレス、電話番号のどちらも持たないようにすることも可能ですが、この場合は標準の機能でユーザー自身でのパスワードリセットができなくなるためご注意ください。
5/28:プライベートクラウドのダッシュボード上のセッションのセキュリティ強化
セキュリティ強化のために、プライベートクラウド環境のダッシュボードに管理者などがログインした後に接続しているネットワークの ASN が変わった際は再ログインが求められるようになりました。
5/30:カスタムのメール送信が EA
ウェルカムメール、メール送信者確認などで行われるメール送信を各種プロバイダや SMTP サーバから送るのに加えて、新しい埋め込み Action でも送信できるようになりました。ダッシュボードの Branding -> Email Provider にある Custom Provider で新しい埋め込みアクションを設定できます。
5/30:パスワードリセット時にボット検知が可能に
Universal Login でユーザーがパスワードリセットをする際にボット検知を適用できるようになりました。これにより、サインアップやログインのフローと同様にボットやスクリプトによる攻撃から保護できます。適用するには設定を有効にする必要があります。
6/7:JetBrains IDE で Okta FGA 連携のプラグイン
JetBrains IDE で Okta FGA のモデルやテストを編集する際に、シンタックスカラーリングやバリデーションができるプラグインが使えるようになりました。
6/7:変更: サポートセンターのチケットにアクセスするための権限変更
2024年8月5日より、同じテナントで他のユーザーが作成したサポートセンターのチケットにアクセスするには、新しいロール「Elevated Support Access」が必要になります。これまでは「Admin」ロールがあればアクセスできましたが、明示的に「Elevated Support Access」が必要になります。テナントへのアクセス権があるテナントメンバーであれば、「Elevated Support Access」が無くてもチケットを作成でき、自分自身のチケットにアクセスできます。また、これに伴い「Support Access」ロールが廃止されます。
6/11:Rules から Actions への移行ツール
これまでに作成した Auth0 Rules の Auth0 Actions への移行がより簡単になりました。1 つの画面で既存の Rule を見ながら Action を作成できるようになりました。コードを Rule から Action に貼り付けると、API や オブジェクトの違いでエラーがハイライトされて修正するために QuickFix を利用できます。また、Rule には「Migrate to Action」ボタンが用意され、クリックして Action を作成した場合は、元の Rule が実行されている間は Action は実行されないロジックが追加されます。
6/11:Delegated Administration Dashboard のアップデート
Exntension の 1 つである Delegated Admin Dashboard のユーザー作成 UI で、Connections 数に基づいて、選択ドロップダウンと入力フィールドの動的な切り替えが行われるようになりました。多数の Connections を使われている場合も操作しやすくなりました。なお、現在はダッシュボードの Role 権限を付与することで複数のユーザーで管理することも可能となっています。
6/14:Auth0 Organizations でユーザー自身のユーザー登録が可能に
Organization に Database Connection が割り当てられており、アプリケーションが Organization を指定してログインを開始した際に、ユーザー自身でサインアップを行えるように設定できるようになりました。これまではユーザーが登録した上で管理者が Organization に割り当てる、あるいは管理者が招待を送るといったことが必要だったため、ユーザーの操作だけでサインアップを行えるようにするには開発が必要でした。また、Organization に Passwordless Connection を割り当てて利用することもできるようになりました。
6/17:リフレッシュトークンの管理 API が GA
リフレッシュトークンの管理 API が GA になりました。API を使って指定したリフレッシュトークンの情報を確認したり、無効化したり、ユーザーに発行されているリフレッシュトークンを確認することができます。この API は Enterprise プラン限定となっています。
6/18:香港とカナダでプライベートクラウドを提供開始
プライベートクラウドの利用を開始する際に、新たに香港とカナダのカルガリーの AWS リージョンを選択頂けるようになりました。
6/24:カナダでパブリッククラウドを提供開始
新たにカナダでパブリッククラウドのリージョンを選択できるようになりました。6 番目のリージョンとなります。
6/27:アクセストークンの RFC 9068 プロファイルが GA
発行されるアクセストークンを API ごとに RFC 9068 - JSON Web Token (JWT) Profile for OAuth 2.0 Access Tokens に合わせるように、プロファイルを切り替えられるようになりました。これにより他のソリューションと互換性を高められます。
6/29:Okta FGA ListUsers API が GA
Okta FGA に特定のリソースと特定のリレーションシップを持つすべてのユーザーの一覧を入手できる新しい API が追加されました。例えば、特定のドキュメントを閲覧できるすべてのユーザーをリストアップできます。この API はリソースの変更をユーザーに通知したり、監査目的で権限を確認したりする場合に便利です。
7/1:M2M 認証のクォータレポートの修正
サポートセンター内のクォータ使用状況レポートの M2M 認証 (Machine to Machine Auth) の使用状況が、サブスクリプションでカウントされない管理 API 用に発行された回数をカウントするように改善されました。
7/11:Auth0 Actions でセッションやリフレッシュトークンの制御が EA
ログインの Actions 内でセッションやリフレッシュトークンについて、作成日時、有効期限、最初に認証した時の ASN、IP などの情報を得られるようになり、セッションやリフレッシュトークンを無効化して、ログインを失敗させることもできるようになります。これにより、より細かな制御を行い、セキュリティを高めることができるようになります。 本機能はプライベート EA として提供を開始しているため、お試し頂くにはサポートにご連絡頂く必要があります。
7/17:HRI 機能で BYOK と CMK が EA
Enterprise プランのアドオンとして提供している Highly Regulated Identity (HRI) 機能の一部として Bring Your Own Key (BYOK) と Customer Managed Keys (CMK) がプライベート EA で提供を開始しました。BYOK ではアップロードした鍵をルート鍵にすることができます。CMK ではアップロードしたルート鍵のローテーションなどの管理が行えます。 本機能はプライベート EA として提供を開始しているため、お試し頂くにはサポートにご連絡頂く必要があります。
7/18:エンタープライズ接続でのインバウンド方向 SCIM が EA
エンタープライズ接続で外部 IdP から SCIM を使ってプロビジョニングを受けられるようになりました。これまでは OIDC や SAML を使ってユーザーがログインする際に自動的にユーザーが作成され、設定によっては都度ユーザー情報が更新される仕組みでした。SCIM を使うと、外部 IdP でユーザーが作成、更新、削除されたタイミングで変更を受け取って反映できるようになります。
7/18:Azure AD 接続でユーザー ID のマッピング変更が可能に
これまでエンタープライズ接続の Microsoft Azure AD 接続では ID トークン内の sub クレームを user_id として利用していましたが、oid クレームを利用するように変更することができるようになりました。 SCIM を利用する場合などには oid 設定にすることが推奨されます。
7/23:プライベートクラウド向けステータスページが RSS/ATOM 対応
ご利用のプライベートクラウドのサービス提供状況を確認できるステータスページの更新情報を、RSS/ATOM を使って確認できるようになりました。
7/23:Universal Login が新たに 27 言語をサポート
Universal Login でユーザーに表示される Web の UI が新たに 27 言語がサポートされ、合計 78 言語がサポートされるようになりました。
7/24:Flexible Identifiers が GA
ユーザーがログイン時に入力する ID の形式を柔軟に決められる Flexible Identifiers が GA になりました。GA にあわせて Organizations 利用時のユーザー登録時の流れやパスワードリセット時の動作の改善も行われています。
7/25:ボット検知の精度向上
ボット検知が 4 世代目のエンジンとなり、ASN や IP アドレスの評価情報を ML モデルに組み入れられました。これにより、スクリプトを使った攻撃や頻繁に IP を変えて行われる攻撃を検出して、これまで以上に保護できるようになりました。
以上、30 件が 2024年第2四半期にリリースした主なアップデートになります。最新のアップデートは、Changelog で随時紹介しており、下記のフィードをご登録いただくことで通知を受け取ることもできます。
今後も Okta Customer Identity Cloud (powered by Auth0) のアップデートにご期待ください。
