在日常工作和生活中，电子邮箱已经成为我们不可或缺的沟通工具，无论是使用常见的公共邮箱服务如 http://qq.com、http://163.com，还是公司专属的企业邮箱，都是一种快捷、高效的通讯方式。但对于现代企业来说，电子邮箱的作用远不止于此，它更是身份认证的一部分。当用户需要频繁登录多个系统或应用时，传统的身份验证方式可能显得繁琐，甚至会因复杂的操作流程影响用户体验。为了解决这个问题，Authing 全局登录框引入了全新的 IdP（身份提供商）邮箱域名匹配登录模式，并已全面兼容 SAML 和 OIDC 身份源，同时支持租户场景使用，帮助企业实现更加简洁高效且隐私保护的登录方式，优化用户体验的同时满足业务多样化的身份验证需求。

01.功能亮点

支持 SAML 和 OIDC 身份源连接的 IdP 邮箱域名配置

企业管理员可自行设置多个身份源连接的邮箱域名匹配规则，无需直接在登录框中向用户展示身份源列表。当用户在登录框输入邮箱地址时，系统将根据配置的邮箱域名规则，自动匹配到相应的身份源进行验证。例如，企业可将“@example.com”域名与 Azure AD 身份源绑定，同时将“@partner.com”域名与 Okta 身份源绑定。当用户在登录框中输入邮箱地址时，系统会根据邮箱域名规则，自动匹配到对应的身份源并完成验证，完全无需用户干预。

隐藏身份源列表，保护用户隐私

用户登录时无需面对复杂的身份源列表，而是通过邮箱域名或其他隐性规则直接匹配身份源。隐藏身份源列表后，用户登录过程中不会暴露可用的身份源信息，从根源上减少敏感信息泄露的风险，简化了登录流程，避免了多身份源情况下的操作繁琐，同时通过将身份源信息隐藏在后台，有效减少了敏感信息泄露的风险。尤其是在涉及敏感业务的行业或对隐私保护要求较高的场景中（如金融、医疗等），为企业提供了一个既安全又高效的登录解决方案，满足了隐私保护与安全合规的双重需求。

支持多租户场景，满足复杂业务需求

在多租户模式下，不同租户可能拥有各自独特的业务场景和身份认证需求。为满足这种复杂环境中的多样化需求，IdP 邮箱域名匹配登录模式为多租户企业提供了灵活的配置选项。租户管理员可以自行为租户创建身份源、绑定 IdP 域名列表使用，登录流程更加精准高效。无论是按业务部门划分的内部租户，还是跨地域运营的全球分支机构，企业都能轻松通过该功能实现差异化管理。例如，不同租户的用户可以通过输入其企业邮箱地址，系统自动匹配到对应的身份源进行验证，无需额外操作。

02.覆盖三大场景，打造丝滑的用户体验

提升用户登录体验

在数字化体验至关重要的时代，用户登录流程的便捷性直接影响整体使用感受。通过邮箱地址自动匹配身份源的功能，用户在登录时无需面对复杂的身份源选择界面，仅需输入邮箱地址，系统即可根据邮箱域名匹配规则，智能完成身份源的自动选择。当用户输入邮箱后，用户只需要点击一次“登录”，系统后台就会实时解析邮箱域名，并与预设的匹配规则进行校验，快速识别对应的身份源。整个过程对用户而言是完全无感知的，省略了传统登录方式中选择身份源的步骤。对于需要接入多个身份源的企业或组织，显著减少了因身份源列表过多可能引发的选择错误或登录失败的问题。

多身份源连接场景

在现代企业的数字化环境中，接入多个身份提供商（如 Azure AD、Okta、Ping Identity 等）已成为常态，以满足不同业务系统的多样化需求。但对于最终用户而言，频繁面对多个身份源的选择可能会增加理解负担，降低登录体验的流畅性。用户只需在登录框输入其邮箱地址，系统便可根据预设的匹配规则，自动定位到与邮箱域名关联的身份提供商进行认证，无需用户手动选择具体的身份源。

企业隐私信息保护需求

在当前的数字化环境中，企业和组织对数据隐私与安全的要求日益严格，尤其是涉及身份源敏感信息的场景。某些企业或组织需要特别关注身份源信息的保护，避免身份源列表在用户登录时的暴露，降低潜在的安全风险。通过邮箱域名匹配功能，用户登录时无需直接看到身份源列表。企业不仅能够为用户提供更加便捷且直观的登录体验，还在系统层面强化了隐私保护与安全性。

03.功能描述

配置登录模式
在 品牌化 -> 全局登录框 菜单中，新增了对于登录模式的全局配置：「登录模式」。
1、常规登录：默认选项，将常规登录方式与身份源登录方式分离，所有身份源需要用户在「其他登录方式」列表主动访问才可使用。

2、邮箱域名匹配登录模式：选择此模式后，可以根据为部分身份源连接开启「IdP 邮箱域名匹配登录」，开启后支持自主隐藏需要脱敏的身份源；为身份源设置域名后，用户输入邮箱格式账号时登录框将根据域名匹配相应的其他登录方式 / 常规登录方式。

点击「保存」按钮后，配置将立即对所有应用登录框及单点登录 SSO 生效。暂不支持应用独立配置。

配置身份源 IdP 邮箱域名

要使用 IdP 邮箱域名匹配身份源登录，需要先在身份源详情页为身份源连接配置 IdP 邮箱域名。每个身份源连接的 IdP 邮箱域名列表互相独立、不可重复。

启用身份源 IdP 邮箱匹配登录

为身份源连接配置 IdP 邮箱域名后，开启「根据邮箱域名匹配」开关，点击详情页「保存」按钮。保存成功后，如果用户在登录框输入的邮箱后缀与该身份源连接的 IdP 邮箱域名列表相符，就可以通过邮箱账号的域名匹配登录该身份源连接，不需要另行选择其他登录方式。

 

如果用户在登录框输入的邮箱后缀与所有启用「IdP 邮箱域名登录」的身份源连接 IdP 邮箱域名列表都不相符，则将继续账号密码登录流程。

 

在登录框隐藏启用 IdP 邮箱匹配登录的身份源

为身份源连接开启「根据邮箱域名匹配」开关后，默认在登录框隐藏该身份源连接。你仍然可以开启 作为「其他登录方式」展示 开关，对用户展示这个身份源连接。