Netzwerkzugriff auf Gemini Code Assist mit Nutzerdomaineinschränkungen steuern

Dieses Dokument enthält eine Anleitung für Netzwerkadministratoren zum Konfigurieren ihrer Netzwerke, um den Zugriff auf Gemini Code Assist basierend auf Nutzerdomains einzuschränken. Mit dieser Funktion können Organisationen steuern, welche Nutzer in ihrem Netzwerk Gemini Code Assist verwenden dürfen. So wird die Sicherheit erhöht und unbefugter Zugriff verhindert.

Übersicht

Sie können Gemini Code Assist so konfigurieren, dass Nutzerdomainbeschränkungen mithilfe eines Person-in-the-Middle-Proxys (PITM) erzwungen werden. Dazu wird ein benutzerdefinierter HTTP-Header, X-GeminiCodeAssist-Allowed-Domains, in Anfragen an Gemini Code Assist eingefügt. Der Header gibt eine Liste der zulässigen Domains an. Das Gemini Code Assist-Backend verarbeitet nur Anfragen von Nutzern, deren authentifizierte Domain mit einer der zulässigen Domains übereinstimmt.

Proxy in der IDE konfigurieren

So konfigurieren Sie einen Proxy in Ihrer IDE:

VS Code

  1. Klicken Sie unter Windows auf Datei > Einstellungen oder unter macOS auf Code > Einstellungen > Einstellungen.

  2. Klicken Sie auf dem Tab Nutzer auf Anwendung > Proxy.

  3. Geben Sie im Feld unter Proxy die Adresse Ihres Proxyservers ein. Beispiel: http://localhost:3128.

  4. Optional: Wenn Sie Gemini Code Assist so konfigurieren möchten, dass Zertifikatsfehler ignoriert werden, aktivieren oder deaktivieren Sie unter Proxy Strict SSL das entsprechende Kästchen. Diese Einstellung gilt für alle Profile.

IntelliJ

  1. Rufen Sie Datei > Einstellungen (für Windows) oder IntelliJ IDEA > Einstellungen (für macOS) auf.

  2. Gehen Sie zu Appearance & Behavior > System Settings > HTTP Proxy.

  3. Wählen Sie Manuelle Proxykonfiguration und dann HTTP aus.

  4. Geben Sie im Feld Hostname den Hostnamen Ihres Proxyservers ein.

  5. Geben Sie im Feld Portnummer die Portnummer Ihres Proxyservers ein.

  6. Optional: Wenn Sie Gemini Code Assist so konfigurieren möchten, dass Zertifikatsfehler ignoriert werden, klicken Sie in der Seitenleiste auf Tools > Server Certificates (Serverzertifikate) und aktivieren oder deaktivieren Sie dann Accept non-trusted certificates automatically (Nicht vertrauenswürdige Zertifikate automatisch akzeptieren).

PITM-Proxy konfigurieren

So konfigurieren Sie Ihren PITM-Proxy:

  1. Achten Sie darauf, dass in Ihrem Netzwerk ein PITM-Proxy verwendet wird, der HTTPS-Traffic abfangen und ändern kann.

  2. Konfigurieren Sie den Proxy so, dass alle ausgehenden Anfragen an den Gemini Code Assist-Endpunkt (https://cloudcode-pa.googleapis.com) abgefangen werden. Verwenden Sie keine Platzhalter (*), wenn Sie den Gemini Code Assist-Endpunkt angeben.

  3. Konfigurieren Sie den Proxy so, dass der X-GeminiCodeAssist-Allowed-Domains-Header in jede Anfrage eingefügt wird. Der Header sollte eine durch Kommas getrennte Liste mit zulässigen Domains enthalten (z.B. example.com, yourcompany.net). Achten Sie darauf, dass Domainnamen durch Kommas getrennt sind und das Symbol @ nicht enthalten.

    Wenn Header nicht in mindestens eine gültige Domain aufgelöst werden, gelten keine Einschränkungen. Ein leerer Header wendet beispielsweise keine Einschränkungen an. Für domain werden keine Einschränkungen angewendet, da es sich nicht um einen gültigen Domainnamen handelt.

Wenn ein Nutzer versucht, über eine Domain, die nicht in der Kopfzeilenliste enthalten ist, auf Gemini Code Assist zuzugreifen, wird ihm eine Meldung angezeigt, dass die Nutzung von Gemini Code Assist in seiner Domain von seinem Administrator eingeschränkt wurde.

SSL/TLS-Abfangen

Wenn Ihr Proxy HTTPS-Traffic entschlüsseln muss, um den Header einzufügen, muss er für die SSL/TLS-Abfangung konfiguriert sein. Dazu gehören in der Regel:

  • Zertifikat für den Proxy generieren

  • Das Zertifikat des Proxys auf Nutzergeräten installieren, um Vertrauen herzustellen und Zertifikatsfehler zu vermeiden.

Header-Validierung

  • Gemini Code Assist validiert automatisch den X-GeminiCodeAssist-Allowed-Domains-Header und erzwingt die Einschränkungen.

  • Wenn der Header nicht zu mindestens einer gültigen Domain aufgelöst wird, wird die Validierung nicht durchgeführt.

  • Wenn die mit der Authentifizierung des Nutzers verknüpfte Domain nicht auf der Zulassungsliste steht, wird die Anfrage abgelehnt. Wenn sich der Nutzer beispielsweise mit einem Gmail-Konto anmeldet und nur example.com auf der Zulassungsliste steht, wird die Anfrage abgelehnt.

Nächste Schritte

Weitere Informationen zum Blockieren des Zugriffs auf Privatnutzerkonten finden Sie unter Zugriff auf Privatnutzerkonten blockieren.