このドキュメントでは、Okta ADエージェントのバージョン3.18.0以降に関連する動作と変更点について説明します。エージェントは、登録と通信にAPIトークンではなくOAuth 2.0を利用するようになりました。

• Okta ADエージェント
• OAuth 2.0

この構成のセキュリティ向上以外にも、Okta管理者が気づく可能性のある動作上の変更がいくつかあります。

• エージェントは、エージェントの登録に使用されたアカウントから独立して動作するようになりました。つまり、エージェントをインストールした管理者のOktaアカウントが非アクティブ化されたり、管理者ロールが削除されたりしても、エージェントは引き続き機能します。
• 3.18.0以降を実行しているエージェントによって実行されるアクションは、エージェントを登録する管理者をSystem Logでアクターとして報告しなくなりました。アクターは、Active Directory Agent（AD_AGENT）として表示されます。
• ADエージェントのAPIトークンは生成されなくなりました。発行済みトークン（［セキュリティ］>［API］>［トークン］）のリストには、これらのエージェントのエントリーは表示されません。

注：現在APIトークンが発行されているADエージェントをアップグレードすると、そのトークンは有効期限が切れて自動的に削除されるまでこのリストに表示され続けることがあります。これは通常、使用せずに30日が経過すると発生します。

• OAuthデバイス認証フローを容易にするために、各orgにOkta Agent Registrationというアプリケーションが作成されています。
• ADエージェントのインストールの最終ステップであるOkta orgのADエージェントの登録は、この変更を反映するように修正されました。
• インストール中、エージェントのセットアップに使用されるサービスアカウントは、インストールを完了するために「キャッチオール」サインインルールに合格する必要があります。

関連資料

• 「Okta Agent Registration」アプリケーションの管理者への割り当て