ドキュメントを読む限り、allowed email domains はアカウント作成時に OIDC から返されるメールアドレスに対してチェックされるようです。この理解で合っていますでしょうか?
allowed email domains