独自のメールプロバイダーを使用する

Oktaが管理するSMTPサーバーではなく、サードパーティプロバイダーを介してOkta通知メールを送信する場合は、外部のメールプロバイダーを使用します。カスタムメールプロバイダーを追加すると、ビジネス要件と規制要件を満たすことができます。

  • 特定の地理的場所にデータを保存するメールプロバイダーを選択することで、データレジデンシー要件が満たされます。
  • メールに使用されるIPアドレスを制御できます。
  • メールの配信や使用状況など、送信するメールに関する詳細な指標と情報を取得できます。

Oktaでは複数回、カスタムメールプロバイダー経由でのメッセージ配信を試行します。最初の試行が失敗すると、メッセージをキューに入れて、後で配信を再試行します。2回目の試行が失敗した場合は、メッセージはより長い遅延で再度キューに入れられます。最大再試行回数を超えると、FAILUREの配信イベントがシステムログに記録されます。このような場合、メッセージの配信はOktaのデフォルトメールサービスにフォールバックされません。配信が成功すると、SUCCESSの配信イベントがシステムログに記録されます。

接続タイプ

Oktaは、基本的なSMTPおよびOAuth 2.0認証を備えたカスタムメールプロバイダーをサポートします。

基本的なSMTP認証では、ユーザー名とパスワードを使用して、SMTPサーバーへのリクエストを認可します。管理者資格情報がこれらのリクエストで送信および保存されるため、一部のメールプロバイダー(MicrosoftやGoogle Workspaceなど)では、基本的なSMTP認証のサポートが廃止されます。

Oktaでは、これらのカスタムメールプロバイダーを使用するorgに、Microsoftの要件をサポートするクライアント資格情報フローと、Googleの要件をサポートするJWTベアラートークンフローの2つのOAuth 2.0認証オプションを提供しています。

開始する前に

  • お使いの外部メールプロバイダーをセットアップします。カスタムSMTPを参照してください。

  • プロバイダーのSMTPサーバーに関する次の詳細を収集します。
    • ホスト(Host):SMTPサーバーのホスト名またはIPアドレス例えばyour.smtp.host.comです。
    • ポート(Port):SMTPサーバーが使用するポート。Oktaではデフォルトで465、587、2587がサポートされます。orgが標準以外のポートを使用している場合は、Oktaサポートまでお問い合わせください。
    • Username(ユーザー名):自分のSMTPユーザー名。
    • SMTPパスワード(SMTP password):自分のSMTPパスワードまたはGoogleアプリのパスワード。

OAuth 2.0を使用してカスタムメールプロバイダーを追加する

早期アクセスリリース。セルフサービス機能を有効にするを参照してください。

OAuth 2.0認証は、クライアント資格情報またはJWTベアラートークンを使用して構成できます。

クライアントの資格情報

このオプションでは、基本的なSMTP認証にMicrosoftを現在使用しているorgがサポートされます。クライアント資格情報を使用してOAuth 2.0プロバイダーを作成すると、クライアントシークレットはAPIレスポンスに返されません。

  1. Admin Consoleカスタマイズ(Customizations) > メールプロバイダー(Email provider)に移動します。
  2. カスタムメールプロバイダーを追加(Add custom email provider)をクリックします。
  3. 接続タイプ(Connection type)ドロップダウンメニューでOAuth 2.0 - クライアント資格情報フロー(OAuth 2.0 - client credentials flow)を選択します。
  4. OAuth 2.0クライアント資格情報フローの詳細を入力します。
    • クライアントID(Client ID)
    • クライアントシークレット
    • スコープ(Scope)
    • トークンエンドポイントURL
    • トークンエンドポイント認証方式
  5. SMTPの詳細(ホスト(Host)ポート(Port)ユーザー名(Username))を入力します。
  6. 保存(Save)をクリックします。新しいプロバイダーが追加されます。
  7. テストメールを送信して、正しく動作することを確認します。
  8. カスタムメールプロバイダーを使用(Use custom email provider)に切り替えます。

JWTベアラートークン

このオプションでは、基本的なSMTP認証にGoogle Workspaceを現在使用しているorgがサポートされます。クライアント資格情報を使用してOAuth 2.0プロバイダーを作成すると、秘密鍵はAPIレスポンスに返されません。

  1. Admin Consoleカスタマイズ(Customizations) > メールプロバイダー(Email provider)に移動します。
  2. カスタムメールプロバイダーを追加(Add custom email provider)をクリックします。
  3. 接続タイプ(Connection type)ドロップダウンメニューでOAuth 2.0 - JWTベアラートークンフロー(OAuth 2.0 - JWT bearer tokens flow)を選択します。
  4. OAuth 2.0クライアント資格情報フローの詳細を入力します。
    • クライアントID(Client ID)
    • トークンエンドポイントURL
    • Signing algorithm(署名アルゴリズム)
    • キーID(kid)
    • 発行者(iss)
    • 件名(sub)
    • オーディエンス(aud)
    • スコープ(Scope)
    • 秘密鍵
  5. SMTPの詳細(ホスト(Host)ポート(Port)ユーザー名(Username))を入力します。
  6. 保存(Save)をクリックします。新しいプロバイダーが追加されます。
  7. テストメールを送信して、正しく動作することを確認します。
  8. カスタムメールプロバイダーを使用(Use custom email provider)に切り替えます。

基本的なSMTP認証でカスタムメールプロバイダーを追加する

一部のメールプロバイダー(MicrosoftやGoogle Workspaceなど)では、基本的なSMTP認証のサポートが廃止されます。Oktaでは、可能であれば、カスタムメールプロバイダーでOAuth 2.0認証を使用することを推奨しています。

カスタムメールプロバイダーを追加する(Google Workspace以外)

  1. Admin Consoleカスタマイズ(Customizations) > メールプロバイダー(Email provider)に移動します。
  2. カスタムメールプロバイダーを追加(Add custom email provider)をクリックします。
  3. 接続タイプ(Connection type)ドロップダウンメニューで基本認証(Basic authentication)を選択します。
  4. SMTPの詳細(ホスト(Host)ポート(Port)ユーザー名(Username)SMTPパスワード(SMTP password))を入力します。
  5. 保存(Save)をクリックします。新しいプロバイダーが追加されます。
  6. テストメールを送信して、正しく動作することを確認します。
  7. カスタムメールプロバイダーを使用(Use custom email provider)に切り替えます。

Google Workspaceをカスタムメールプロバイダーとして追加する

Googleでは、Oktaなどの外部製品から同社サービスにアクセスする際にユーザー名とパスワードを許可していません。代わりに、Google WorkspaceでOAuthトークンの一種であるアプリパスワードを生成し、そのトークンを OktaでSMTPパスワードとして使用します。

  1. Google Workspaceでアプリパスワードを作成します。Googleのサポート記事「アプリパスワードを作成、使用する」を参照してください 。
  2. アプリパスワードをコピーして、安全な場所に保存します。
  3. Okta Admin Consoleカスタマイズ(Customizations) > メールプロバイダー(Email provider)に移動します。
  4. カスタムメールプロバイダーを追加(Add custom email provider)をクリックします。
  5. 接続タイプ(Connection type)ドロップダウンメニューで基本認証(Basic authentication)を選択します。
  6. SMTPの詳細(ホスト(Host)ポート(Port)ユーザー名(Username))を入力します。
  7. SMTPパスワード(SMTP password)フィールドにアプリパスワードを貼り付けます。
  8. 保存(Save)をクリックします。
  9. テストメールを送信して、正しく動作することを確認します。
  10. カスタムメールプロバイダーを使用(Use custom email provider)に切り替えます。

Googleのサポート記事「安全性の低いアプリからOAuthへの移行」を参照してください。

テストメールを送信する

メールプロバイダーが正しく構成されていることを確認するために、テストメールを送信します。

  1. Admin Consoleカスタマイズ(Customizations) > メールプロバイダー(Email provider)に移動します。
  2. SMTPサーバー(SMTP server)にあるテストメールを送信(Send test email)をクリックします。
  3. 送信元(From)アドレスを入力します。機能する有効なメールアドレスを使用してください。SMTPサーバーは、このテストの一環としてメールアドレスを検証します。
  4. 宛先(To)アドレスを入力します。テストメールの送信先となるアドレスです。メールクライアントでこのメールアドレスにアクセスできることを確認します。
  5. テストメールを送信(Send test email)をクリックします。
  6. メールが送信され、通知が表示されます。
  7. メールクライアントで、宛先(To)アドレスにアクセスし、テストメールが届いたことを確認します。

カスタムメールドメインをブランドに追加する

カスタムメールドメインを各ブランドに追加します。

  1. Admin Consoleブランド(Brands)に移動します。
  2. カスタムメールドメインの追加先ブランドをクリックします。
  3. ブランド(Brand) > ドメイン(Domains) > メールドメイン(Email domain)に移動します。
  4. デフォルトのokta.comドメインの横のメールドメインを追加(Add email domain)をクリックします。
  5. メール送信者のメールアドレスと名前を追加します。ユーザーの受信ボックスにはこの情報が表示されます。
  6. 次へ(Next)をクリックします。
  7. まだ構成していない場合は、メールプロバイダーを構成します。前のタスクを参照してください。
  8. 確認(Verify)をクリックします。メールプロバイダーがブランドに追加され、ドメイン(Domains) > メールドメイン(Email domain)に表示されるようになります。
  9. ブランドごとに手順を繰り返します。

カスタムメールプロバイダーを削除する

orgのカスタムメールプロバイダーを削除します。プロバイダーを削除すると、orgのどのブランドもそのプロバイダーを使用しなくなります。その後、メールはデフォルトのokta.comメールプロバイダーから送信されます。

  1. Admin Consoleカスタマイズ(Customizations) > メールプロバイダー(Email provider)に移動します。
  2. メールプロバイダーの横の削除(Delete)アイコンをクリックします。メールプロバイダーを削除する(Remove email provider)ページが表示されます。
  3. メールプロバイダーの削除(Remove email provider)をクリックします。

カスタムメールプロバイダーを編集する

  1. Admin Consoleカスタマイズ(Customizations) > メールプロバイダー(Email provider)に移動します。
  2. メールプロバイダーの横の編集(Edit)アイコンをクリックします。カスタムメールプロバイダーを編集する(Edit custom email provider)ページが表示されます。
  3. メールプロバイダーの情報を編集します。
  4. 保存(Save)をクリックします。

関連項目

ブランディング(Branding)

カスタムドメインを構成する