Управление сетевым доступом к Gemini Code Assist с ограничениями домена пользователя

В этом документе содержатся инструкции для сетевых администраторов по настройке сетей для ограничения доступа к Gemini Code Assist на основе доменов пользователей. Эта функция позволяет организациям контролировать, какие пользователи в их сети могут использовать Gemini Code Assist, повышая безопасность и предотвращая несанкционированный доступ.

Обзор

Вы можете настроить Gemini Code Assist для применения ограничений домена пользователя с помощью HTTP-заголовка X-GeminiCodeAssist-Allowed-Domains . Этот заголовок определяет список разрешённых доменов, и бэкэнд Gemini Code Assist обрабатывает запросы только от пользователей, чей аутентифицированный домен совпадает с одним из разрешённых.

Вы можете использовать подход прокси-сервера «человек посередине» (PITM), чтобы вставить этот заголовок в запросы к Gemini Code Assist, исходящие из вашей сети.

Настройте прокси в вашей IDE

Чтобы настроить прокси в вашей IDE, выполните следующие действия:

VS Код

  1. Перейдите в Файл > Настройки (для Windows) или Код > Настройки > Настройки (для macOS).

  2. На вкладке Пользователь перейдите в Приложение > Прокси .

  3. В поле «Прокси» введите адрес вашего прокси-сервера. Например http://localhost:3128 .

  4. Необязательно: чтобы настроить Gemini Code Assist на игнорирование ошибок сертификатов, установите или снимите флажок в разделе Proxy Strict SSL . Этот параметр применяется ко всем профилям.

IntelliJ

  1. Перейдите в Файл > Настройки (для Windows) или IntelliJ IDEA > Настройки (для macOS).

  2. Перейдите в раздел Внешний вид и поведение > Параметры системы > HTTP-прокси .

  3. Выберите Ручная настройка прокси-сервера , а затем выберите HTTP .

  4. В поле Имя хоста введите имя хоста вашего прокси-сервера.

  5. В поле Номер порта введите номер порта вашего прокси-сервера.

  6. Необязательно: чтобы настроить Gemini Code Assist на игнорирование ошибок сертификатов, на боковой панели нажмите «Инструменты» > «Сертификаты сервера» , а затем установите или снимите флажок «Принимать ненадежные сертификаты автоматически» .

Настроить прокси-сервер PITM

Чтобы настроить прокси-сервер PITM, выполните следующие действия:

  1. Убедитесь, что в вашей сети используется прокси-сервер PITM, способный перехватывать и изменять трафик HTTPS.

  2. Настройте прокси-сервер для перехвата всех исходящих запросов к конечной точке Gemini Code Assist ( https://cloudcode-pa.googleapis.com ). Не используйте подстановочные знаки ( * ) при указании конечной точки Gemini Code Assist.

  3. Настройте прокси-сервер для добавления заголовка X-GeminiCodeAssist-Allowed-Domains в каждый запрос. Заголовок должен содержать список разрешённых доменов, разделённых запятыми (например, example.com , yourcompany.net ). Убедитесь, что доменные имена разделены запятыми и не содержат символ @ .

    Если заголовки не преобразованы хотя бы в один допустимый домен, ограничения не применяются. Например, пустой заголовок не применяет никаких ограничений. domain не будет применять никаких ограничений, поскольку он не является допустимым доменным именем.

Когда пользователь пытается получить доступ к Gemini Code Assist с домена, не включенного в список заголовков, он видит сообщение о том, что администратор запретил ему использовать Gemini Code Assist на его домене.

Перехват SSL/TLS

Если вашему прокси-серверу необходимо расшифровывать HTTPS-трафик для внедрения заголовка, убедитесь, что он настроен на перехват SSL/TLS. Обычно это включает в себя:

  • Генерация сертификата для прокси.

  • Установка сертификата прокси-сервера на пользовательские устройства для установления доверия и избежания ошибок сертификатов.

Проверка заголовка

  • Gemini Code Assist автоматически проверяет заголовок X-GeminiCodeAssist-Allowed-Domains и применяет ограничения.

  • Если заголовок не соответствует хотя бы одному допустимому домену, проверка не будет выполнена.

  • Если домен, связанный с аутентификацией пользователя, отсутствует в списке разрешённых, запрос отклоняется. Например, если пользователь входит в систему через учётную запись Gmail, а в списке разрешённых доменов есть только example.com, запрос отклоняется.

Что дальше?

Дополнительную информацию о блокировке доступа к учетным записям потребителей см. в разделе Блокировка доступа к учетным записям потребителей .