Controla el acceso de red a Gemini Code Assist con restricciones de dominio de usuario

En este documento, se proporcionan instrucciones para que los administradores de red configuren sus redes de modo que restrinjan el acceso a Gemini Code Assist según los dominios de los usuarios. Esta función permite a las organizaciones controlar qué usuarios de su red pueden utilizar Gemini Code Assist, lo que mejora la seguridad y evita el acceso no autorizado.

Descripción general

Puedes configurar Gemini Code Assist para aplicar restricciones de dominio del usuario con un enfoque de proxy de intermediario (PITM). Esto implica insertar un encabezado HTTP personalizado, X-GeminiCodeAssist-Allowed-Domains, en las solicitudes realizadas a Gemini Code Assist. El encabezado especifica una lista de dominios permitidos, y el backend de Gemini Code Assist solo procesa las solicitudes de los usuarios cuyo dominio autenticado coincide con uno de los dominios permitidos.

Configura un proxy en tu IDE

Para configurar un proxy en tu IDE, sigue estos pasos:

VS Code

  1. Navega a File > Settings (en Windows) o Code > Settings > Settings (en macOS).

  2. En la pestaña Usuario, navega a Aplicación > Proxy.

  3. En el cuadro que se encuentra debajo de Proxy, ingresa la dirección de tu servidor proxy. Por ejemplo, http://localhost:3128.

  4. Opcional: Para configurar Gemini Code Assist de modo que ignore los errores de certificado, en Proxy Strict SSL, selecciona o anula la selección de la casilla de verificación. Este parámetro de configuración se aplica a todos los perfiles.

IntelliJ

  1. Navega a File > Settings (para Windows) o IntelliJ IDEA > Settings (para macOS).

  2. Ve a Appearance & Behavior > System Settings > HTTP Proxy.

  3. Selecciona Configuración manual de proxy y, luego, HTTP.

  4. En el campo Nombre de host, ingresa el nombre de host de tu servidor proxy.

  5. En el campo Número de puerto, ingresa el número de puerto de tu servidor proxy.

  6. Opcional: Para configurar Gemini Code Assist de modo que ignore los errores de certificado, haz clic en Herramientas > Certificados del servidor en la barra lateral y, luego, selecciona o anula la selección de Aceptar automáticamente los certificados no confiables.

Configura el proxy de PITM

Para configurar tu proxy de PITM, sigue estos pasos:

  1. Asegúrate de que tu red utilice un proxy PITM capaz de interceptar y modificar el tráfico HTTPS.

  2. Configura el proxy para interceptar todas las solicitudes salientes al extremo de Gemini Code Assist (https://cloudcode-pa.googleapis.com). No uses comodines (*) cuando especifiques el extremo de Gemini Code Assist.

  3. Configura el proxy para que inserte el encabezado X-GeminiCodeAssist-Allowed-Domains en cada solicitud. El encabezado debe contener una lista de dominios permitidos separados por comas (p.ej., example.com, yourcompany.net). Asegúrate de que los nombres de dominio estén separados por comas y no incluyan el símbolo @.

    Si los encabezados no se resuelven en al menos un dominio válido, no se aplicarán restricciones. Por ejemplo, un encabezado vacío no aplicará ninguna restricción. domain no aplicará ninguna restricción, ya que no es un nombre de dominio válido.

Cuando un usuario intenta acceder a Gemini Code Assist desde un dominio que no se incluye en la lista de encabezados, ve un mensaje que le indica que su administrador le restringió el uso de Gemini Code Assist en su dominio.

Interceptación de SSL/TLS

Si tu proxy necesita desencriptar el tráfico HTTPS para insertar el encabezado, asegúrate de que esté configurado para la interceptación de SSL/TLS. Por lo general, esto implica lo siguiente:

  • Generar un certificado para el proxy

  • Instalar el certificado del proxy en los dispositivos de los usuarios para establecer la confianza y evitar errores de certificado

Validación de encabezados

  • Gemini Code Assist valida automáticamente el encabezado X-GeminiCodeAssist-Allowed-Domains y aplica las restricciones.

  • Si el encabezado no se resuelve en al menos un dominio válido, no se realizará la validación.

  • Si el dominio asociado con la autenticación del usuario no está en la lista de dominios permitidos, se rechaza la solicitud. Por ejemplo, si el usuario accede con una cuenta de Gmail y solo example.com está en la lista de sitios permitidos, se rechaza la solicitud.

¿Qué sigue?

Para obtener más información sobre cómo bloquear el acceso a cuentas personales, consulta Bloquea el acceso a cuentas personales.