---
title: 认领域名
description: 通过证明 DNS 控制权为组织认领域名，将其独占绑定到组织，并用于配置登录策略和企业联合登录。
editUrl: true
head: []
template: doc
sidebar:
  order: 2
  hidden: false
  attrs: {}
pagefind: true
draft: false
---

import { CardGrid, LinkCard } from "@astrojs/starlight/components";

如果你的组织拥有一个域名（`example.com`、公司域名，或任何你掌控的个人域名），该组织的**所有者（owner）**可以在 Sudomimus 上**认领**它。一旦完成认领，该域名在平台上就归你的组织所有：它会被独占地绑定到证明了控制权的那个组织。

域名认领是后续功能的基础。[登录策略](/zh-cn/domains-federation/domain-login-policy/)和[企业联合登录](/zh-cn/domains-federation/sign-in-with-your-idp/)都以经过验证的域名所有权为依据。仅认领域名不会改变登录流程；设置策略后，平台才会据此管控登录。

## 认领之后能得到什么

- **独占所有权。** 通过验证的域名会绑定到唯一一个组织。只要你持有它，其他任何组织都无法对同一个域名持有已验证的声明。
- **策略的归属对象。** 验证通过后，可以为该域名设置[登录策略](/zh-cn/domains-federation/domain-login-policy/)（允许 / 封禁 / 强制 SSO），并将它绑定到某个[外部连接](/zh-cn/domains-federation/federation-connectors/)。

## 为什么有这个功能

许多身份认证产品将域名所有权作为付费企业功能。Sudomimus 将它视为基础能力：平台需要判断邮箱地址的归属，而域名认领是这一模型的自然延伸。

它在以下场景尤其有用：

- 你经营一家公司，员工共享同一个域名。
- 你运营一个社区或组织，成员共享同一个域名。
- 你希望对自己的域名建立一个经过验证、归组织所有的声明，作为策略与联合的基础。

## 认领流程

1. **发起认领**：在 With 门户 [`with.sudomimus.com`](https://with.sudomimus.com) 中选择你的某个组织，针对你想认领的域名发起请求。只有组织所有者才能发起认领。
2. **发布 DNS 记录。** Sudomimus 会生成一条 `TXT` 记录，请将它添加到该域名：

   | 字段 | 取值 |
   |---|---|
   | 主机 / 名称 | `_sudomimus-challenge.example.com` |
   | 类型 | `TXT` |
   | 值 | `sudomimus-domain-verification=<你的令牌>` |

   专用的 `_sudomimus-challenge` 子域可以避免该记录干扰现有的 SPF、DKIM 或其他顶级 `TXT` 记录。验证令牌在本次认领记录的整个生命周期内保持不变。
3. **验证。** 回到门户点击**验证**。Sudomimus 会做一次实时 DNS 查询，比对记录，成功后将该域名独占地绑定到你的组织。声明状态从 `PENDING`（待验证）变为 `VERIFIED`（已验证）。

:::note[DNS 传播需要一点时间]
验证是按需同步的——没有后台轮询。如果你在记录尚未传播完成时（或解析器还缓存着「没有该记录」的旧结果时）就点击**验证**，它可能会在短时间内失败。稍等一分钟再重试即可。
:::

## 争用的域名与排他性

- **待验证声明可以并存。** 两个组织可以各自对同一个域名持有 `PENDING` 声明——发起认领并不排他。
- **验证成功后才具有排他性。** 同一时刻只能有一个组织持有 `VERIFIED` 声明。以验证 DNS 控制权的先后顺序为准，防止有人通过创建待验证记录抢占其他组织的域名。
- **验证一个已被其他组织持有的域名**会以 `DomainAlreadyAdopted` 失败。

## 释放域名

释放是可逆的。组织所有者可以随时把域名交回平台，之后它便可供另一个组织认领。释放一个已验证的域名会拆除其所有权锁并腾出配额名额。

:::caution
释放域名也会拆除附着其上的任何[登录策略](/zh-cn/domains-federation/domain-login-policy/)。如果该域名正在强制 SSO，请只在你确实打算停止管控该域名用户登录方式时才释放它。
:::

## 配额

每个组织可持有的已认领域名数量有限，默认上限为 **3** 个，待验证与已验证记录合并计数。释放任意记录都会腾出名额；Sudomimus 工作人员可以应请求提高上限。该配额仅在自助界面中强制执行。

## 域名格式

Sudomimus 接受至少包含两段标签的标准 ASCII 域名（`example.com`、`mail.example.co.uk`）。暂不接受国际化（punycode / `xn--`）域名。顶级域与子域是相互独立的声明——认领 `example.com` 并**不**等于认领 `mail.example.com`。

## 相关

<CardGrid>
<LinkCard
    title="域名登录策略"
    description="域名验证之后，决定其下用户的登录方式。"
    href="/zh-cn/domains-federation/domain-login-policy/"
/>
<LinkCard
    title="外部连接"
    description="注册你将要把该域名绑定到的 OIDC 身份提供方。"
    href="/zh-cn/domains-federation/federation-connectors/"
/>
</CardGrid>