2024年8月〜2024年10月 (Oktaでは2月から年度開始となっています) の間にリリースした Okta Customer Identity Cloud (powered by Auth0) に関する新機能等のアップデートをまとめてご紹介します。
今回は 34 件の新機能やアップデートと、3 件の変更や廃止と料金改定がありました。先に、特にご紹介したい 3 件をまずピックアップさせて頂きます。
- 8/27:Self-Service SSO が EA
- 9/17:Auth0 Forms が GA
- 9/25:料金プランの改定
8/27:Self-Service SSO が EA
エンタープライズ接続を外部組織に設定してもらうための Web UI を提供するSelf-Serivce SSOが早期アクセス(EA)になりました。これまで B2B SaaS などを提供されるお客様は、顧客企業の IdP とエンタープライズ接続で接続するために何度かコミュニケーションして設定を行うか、顧客企業自身に設定してもらための UI などを開発して提供する必要がありました。Self-Serice SSO により、顧客企業自身で簡単に設定できる UI を提供できるようになります。
9/17:Auth0 Forms が GA
No Code でフォームを作成できる Auth0 Forms が一般提供 (GA) になりました。GA に合わせて以下のアップデートも行いました。
- Action と Form の間で安全にデータを受け渡し
- カスタムコンポーネントで独自のフィールドなどをコードで実装
- Management API から設定
また、料金を定め、新たに Enterprise プランではアクティブな Auth0 Actions と登録された Auth0 Forms が合計 30 個まで利用できるとなりました。無制限に利用するためのアドオンの提供も始まりました。
9/25:料金プランの改定
Okta Customer Identity Cloud (powered by Auth0) の料金プランが改定されました。様々な変更点がありますが、無料プランでは例えば最大 MAU が 25,000 まで増え、カスタムドメイン名が使えるようになりました。また、Professional プラン以降ではこれまで Enterprise MFA と呼ばれていた種類を含む全ての MFA がアドオン等なしで使えるようになりました。
以上、各アップデートの詳細については、リリースの都度更新される Changelog ページ および、各項目からリンクされる製品ドキュメント等をご確認ください。
参考: GA や EA などのリリース段階について
Okta Customer Identity Cloud は段階的に機能をリリース、または廃止しています。そのためアップデートには 一般提供 (General Availability, GA) や、早期アクセス (Early Access, EA) とリリースの段階を表記している場合があります。詳細については製品リリース段階をご覧ください。なお、リリース段階が明記されていない項目については原則、一般提供 (General Availability, GA) です。
- 早期アクセス (Early Access, EA): EA 段階のリリースではオプトインでアップデートを利用できます。GA の段階までにマイナーな仕様変更を加える場合があります。また、提供対象についても限定される場合があります。この段階の機能のアクセス方法はアップデートによって異なるため、個別のアップデート情報を確認ください。
- 一般提供 (General Availability, GA): GA リリースは機能の対象となるプランを保持している全てのユーザーに対して機能が提供され、運用環境でご利用いただけます。この段階の機能はサポート対象となります。
今期のその他のアップデート
8/2 : Log Stream のフィルタに SCIM イベントのカテゴリが追加
Log Stream で送信されるログの種類を Enteprise Connection のインバウンド SCIM に関するログのみにするカテゴリを追加しました。これにより SCIM に関する問題だけを監視しやすくなりました。
8/2 : Auth0 Teams でメンバーを削除すると全テナントからも削除
Auth0 Teams のダッシュボードでメンバーを削除することで、Team 内の全テナントでそのメンバーの権限が削除されるようになりました。メンバーを削除しなくても、メンバーに権限が割り当てられているテナントを外すことも可能です。
8/8 : ダッシュボードの Support Access ロールの廃止
ダッシュボードのアクセス権管理で、チケット作成や既存チケットへのアクセスに必要だった
Support AccessElevated Support Access8/12 : ダッシュボードのセッション管理が Beta
ダッシュボード自体のセッション管理機能が Public Beta として使えるようになりました。ダッシュボード上の右上のユーザーアイコンをクリックして、Your Profile を選び、表示されたページの Login Session タブを開くと有効なセッションを確認でき無効化することができます。
8/15 : Changelog で Private Cloud でのバージョン記載
Changelog で掲載される各アップデートについて、Private Cloud のバージョンが記載されるようになりました。また、Private Cloud のダッシュボードでは、現在適用されているバージョン、今後適用されるバージョンが確認できるようにもなりました。
8/16 : 優先 Log Streams が EA
セキュリティに関連するログに限定して、遅延や漏れを少なくしてログを別途送れる機能が EA として提供が開始されました。
8/20 : React Native SDK v4 が EA
React Native 用 SDK の新メジャーバージョン v4 が EA になりました。内部で保存しているトークンを使う前にバイオメトリクス認証をローカルで実施したり、接続するのに必要なドメイン名やクライアント ID を切り替えるようになりました。
8/20 : Organization 名の最小文字数が3文字から1文字に
Organization 名や Organization 表示名の最小文字数が 3 文字から 1 文字になりました。
8/20 : WCAG 2.2 AA Compliance が GA
Web Content Accessibility Guidelines (WCAG) 2.2 レベル AA 準拠が GA となりました。有効にするにはダッシュボードや API で有効にする必要があります。
8/21 : AI チャットで質問に答えてくれる Guide が EA
Guide がパブリッククラウドの米国リージョンで EA として提供を開始しました。LLM の技術を使ったチャットボットで CIC に関する質問に答えてくれます。現時点では英語のみのサポートとなっています。
8/23 : WCAG 2.2 AA Compliance のオプトイン設定を廃止予定
2025年2月23日以降に WCAG 2.2 AA Compliance をオプトイン設定を廃止し、全てのお客様で自動的に有効とします。そのため、特にページテンプレートやサインアップとサインインのカスタマイズでカスタマイズをしている場合は、それまでに本番以外のテナントで WCAG 2.2 AA Compliance を有効にしてデザインや動作を確認ください。
8/28 : Auth0 Actions でセッションやリフレッシュトークンの有効期限制御が EA
ログインの Auth0 Actions 内でセッションやリフレッシュトークンの有効期限を指定できる API が EA で提供が始まりました。通常はテナントやアプリケーションの設定で決まる有効期限を必要に応じて変更できます。例えば、ユーザーや Organization によって変更するといったことができます。
8/30 : 優先 Log Streams が GA
セキュリティに関連するログに限定して、遅延や漏れを少なくしてログを別途送れるようになりました。
8/30 : Okta FGA: プライベートクラウドの提供開始
Okta FGA についても プライベートクラウドを契約頂けるようになりました。パブリッククラウドを既に提供している US、EU、AU に加えて 日本、シンガポール、インド、ドイル、アイルランド、UK、フランス、ブラジルでもプライベートクラウドを契約できます。 プライベートクラウドは、利用するリージョンの選択肢が広がることでアプリケーションからのレイテンシーを下げることができ、データを保存する地域を指定できることでコンプライアンスでの必要を満たすことができます。また、必要に応じて高い RPS に対応することもできるようになります。
8/30 : Okta FGA: クエリー API に整合性オプション
Okta FGA は性能を上げるために内部で2段階のキャッシュを利用しており、結果として最大直近 20 秒間の変更が反映されていない結果が返る可能性があります。この振る舞いは多くのユースケースで許容されることが多いですが、許容できないユースケースのために、キャッシュを使わないなどにより可能な限り高い整合性がある結果を返すオプション
HIGHER_CONSISTENCYMINIMIZE_LATENCY8/30 : Security Center で Thresholds 機能が EA
Security Center で表示されるメトリクスに閾値を設定し、グラフ上で可視化できるようにする機能が EA で提供が始まりました。
9/5 : サインアップ攻撃のためにボット検知が強化
これまで以上にサインアップ攻撃を検知したり防いだりできるように機械学習モデルを更新しました。
9/12 : Security Center で Thresholds 機能が GA
Security Center で表示されるメトリクスに閾値を設定し、グラフ上で可視化できるようにする機能が GA となりました。
9/16 : Self-Service SSO で複数プロファイルに対応
EA で提供中の Self-Service SSO で、複数の異なるブランディングや属性で外部組織に Web UI を提供できるように複数のプロファイルを利用できるようになりました。
9/18 : カスタム DB スクリプトのテスト
データベース接続に登録したカスタム DB のスクリプトをダッシュボード上で簡単に動作テストができるようになりました。スクリプトを動作させる Node バージョンを指定したり、スクリプトの入力される ID、パスワードやコンテキストも指定したりすることもできます。
9/19 : サインアップとサインインのカスタマイズが強化
Universal Login を使ったサインアップやサインイン画面上の幾つかの箇所に任意の内容を追加してカスタマイズできる機能が強化され、これまで対応していなかったパスワードレス接続利用時もカスタマイズが適用されるようになりました。また、CLI や Terraform Provider でカスタマイズ設定のための API である Partial API をサポートしました。CLI の
auth0 ul customize
9/24 : Auth0 Actions でセッションやリフレッシュトークンの制御が GA
これまで EA として追加されてきた Auth0 Actions でセッションやリフレッシュトークンを制御する機能が Continuous Session Protection 機能として GA になりました。この機能では Post Login の Action 内のコードで API を呼び出してユーザーに発行、更新されるセッションやリフレッシュトークンの有効期限を設定したり、無効化することができます。また、GA にあわせてセッションやリフレッシュトークンについての情報を確認できるようにもなりました。
9/25 : セッションを無効化する API が追加
セッションを無効化する API が 2 つ追加されました。1 つ目の API は特定のユーザーの全てのセッションやリフレッシュトークンを無効化します。リフレッシュトークンは無効化しないように指定することもできます。2 つ目の API は指定した ID のセッションを無効化します。 これらの API を使うことでユーザーがデバイスを紛失したなどで、発行ずみのセッションやリフレッシュトークンを無効化したい場合に対応できるようになります。
9/25 : Auth0 Actions の UI を更新
Auth0 Actions に関連するダッシュボードの UI やドキュメントの記載を更新しました。これまでフロートとトリガーという表現が使われていましたが、トリガーという表現に統一しました。
9/27 : EN 301 549 に準拠
Universal Login が EU におけるアクセシビリティに関する標準 EN 301 549 に準拠しました。
9/27 : ユーザー情報に ID が追加された時のセッション無効化動作が変更
現在ユーザー情報には現在 email、phone、username の最大 3 種類の ID (identifier) を設定することができます。あるユーザーに 3 種類全ての ID が設定されていない時に、ログインして設定されていなかった種類の ID を設定できるようにすることがあります。これまでこのような際は、ID の変更時と同様にセッションが破棄されていました。ですがこれは追加の ID を設定する際のユーザー体験の低下を招いていたため、セッションを破棄しない動作に変更されました。 引き続き設定済みの ID の値が変更された場合はセッションが破棄されるため、再ログインが必要です。
9/27 : 新しいメールアドレス確認方法が EA
メールアドレスを ID (identifier) にしたユーザーのサインアップやパスワードリセット時にメールアドレス確認をすることができます。これまではリンク付きのメールを送付して、そのリンクをユーザーに開いてもらうことで確認する方法でしたが、OTP 付きのメールを送付して OTP を入力してもらう方法が追加されました。 OTP 付きメールを使用する方法は、入力の手間がかかりますが、不注意でクリックして開いてしまって確認済みになってしまうリスクが低いです。また、サインアップを行っているブラウザのページをそのまま遷移して確認をさせることができるため、確認するまでアカウントを作らないことができます。
9/30 : アラブ首長国連邦でプライベートクラウドを提供開始
プライベートクラウドの利用を開始する際に、新たにアラブ首長国連邦の AWS リージョンを選択頂けるようになりました。
10/2 : カスタム電話プロバイダが EA
電話番号を ID (identifier) にした場合に SMS や電話音声で OTP を通知する際に Twilio に加えて、Node.js コードで実装したカスタムプロバイダが EA として実装できるようになりました。あわせてメッセージのカスタマイズ機能も提供を開始しています。 なお、既存の電話番号を使う MFA やパスワードレス機能については、現時点では別れており異なる設定となっています。
10/2 : 24 ヶ月以上前のクローズ済みのサポートチケット削除
セキュリティ向上のために 2024年10月16日以降、クローズされて 24 ヶ月経過したサポートセンターのチケットは自動的に削除されるようになります。
10/7 : Self-Service SSO が Keycloak サポートなど
EA で提供中の Self-Service SSO で、Self-Service SSO を通じて設定する際に表示される IdP の種類を制限できるようになり、IdP として Keycloak がサポートされるなどの強化が行われました。
10/9 : Google Workspace とのエンタープライズ接続でグループ情報の連携に対応
Google Workspace とのエンタープライズ接続で Google Workspace でユーザーに割り当てられているグループの情報がユーザープロファイルに保存できるようになりました。
10/23 : Okta FGA: 条件付きタプルをダッシュボード上で作成可能に
Okta FGA の条件付きタプルを API だけではなく、ダッシュボード上でも作成できるようになりました。
10/25 : プライベートクラウドのバーストできるサブスクリプションを提供開始
新しいサブスクリプション Public Cloud Performance 3000 RPS Burst (30x Burst)、Public Cloud Performance 6000 RPS Burst (60x Burst) の提供を開始しました。30x Burst の場合、ベース性能は 1500 rps ですが、ピーク時にバーストして月間 80 時間まで 3000 rps の処理が行えます。ピーク時の性能が常に必要なく、月間 80 時間まででよければコストを抑えることができるサブスクリプションとなっています。
以上、合計 38 件がアップデートや変更、廃止などでした。最新のアップデートは、Changelog で随時紹介しており、下記のフィードをご登録いただくことで通知を受け取ることもできます。
今後も Okta Customer Identity Cloud (powered by Auth0) のアップデートにご期待ください。