Contrôler l'accès réseau à Gemini Code Assist avec des restrictions de domaine utilisateur

Ce document fournit des instructions aux administrateurs réseau pour configurer leurs réseaux afin de restreindre l'accès à Gemini Code Assist en fonction des domaines utilisateur. Cette fonctionnalité permet aux organisations de contrôler les utilisateurs de leur réseau qui peuvent utiliser Gemini Code Assist, ce qui renforce la sécurité et empêche les accès non autorisés.

Présentation

Vous pouvez configurer Gemini Code Assist pour appliquer des restrictions de domaine utilisateur à l'aide d'une approche de proxy Person-in-the-Middle (PITM). Cela implique d'injecter un en-tête HTTP personnalisé, X-GeminiCodeAssist-Allowed-Domains, dans les requêtes adressées à Gemini Code Assist. L'en-tête spécifie une liste de domaines autorisés, et le backend Gemini Code Assist ne traite que les requêtes des utilisateurs dont le domaine authentifié correspond à l'un des domaines autorisés.

Configurer un proxy dans votre IDE

Pour configurer un proxy dans votre IDE, procédez comme suit :

VS Code

  1. Accédez à File > Settings (Fichier > Paramètres) sous Windows, ou à Code > Settings > Settings (Code > Paramètres > Paramètres) sous macOS.

  2. Dans l'onglet Utilisateur, accédez à Application > Proxy.

  3. Dans la zone sous Proxy, saisissez l'adresse de votre serveur proxy. Par exemple, http://localhost:3128.

  4. Facultatif : Pour configurer Gemini Code Assist afin qu'il ignore les erreurs de certificat, cochez ou décochez la case sous Proxy Strict SSL. Ce paramètre s'applique à tous les profils.

IntelliJ

  1. Accédez à File > Settings (Fichier > Paramètres) pour Windows ou à IntelliJ IDEA > Settings (IntelliJ IDEA > Paramètres) pour macOS.

  2. Accédez à Apparence et comportement > Paramètres système > Proxy HTTP.

  3. Sélectionnez Configuration manuelle du proxy, puis HTTP.

  4. Dans le champ Nom d'hôte, saisissez le nom d'hôte de votre serveur proxy.

  5. Dans le champ Numéro de port, saisissez le numéro de port de votre serveur proxy.

  6. Facultatif : Pour configurer Gemini Code Assist afin qu'il ignore les erreurs de certificat, dans la barre latérale, cliquez sur Outils > Certificats de serveur, puis cochez ou décochez Accepter automatiquement les certificats non fiables.

Configurer le proxy PITM

Pour configurer votre proxy PITM, procédez comme suit :

  1. Assurez-vous que votre réseau utilise un proxy PITM capable d'intercepter et de modifier le trafic HTTPS.

  2. Configurez le proxy pour intercepter toutes les requêtes sortantes vers le point de terminaison Gemini Code Assist (https://cloudcode-pa.googleapis.com). N'utilisez pas de caractères génériques (*) lorsque vous spécifiez le point de terminaison Gemini Code Assist.

  3. Configurez le proxy pour injecter l'en-tête X-GeminiCodeAssist-Allowed-Domains dans chaque requête. L'en-tête doit contenir une liste de domaines autorisés séparés par une virgule (par exemple, example.com, yourcompany.net). Assurez-vous que les noms de domaine sont séparés par des virgules et n'incluent pas le symbole @.

    Si les en-têtes ne sont pas résolus en au moins un domaine valide, les restrictions ne s'appliqueront pas. Par exemple, un en-tête vide n'appliquera aucune restriction. domain n'appliquera aucune restriction, car il ne s'agit pas d'un nom de domaine valide.

Lorsqu'un utilisateur tente d'accéder à Gemini Code Assist depuis un domaine ne figurant pas dans la liste d'en-tête, un message l'informe que son administrateur lui a interdit d'utiliser Gemini Code Assist sur son domaine.

Interception SSL/TLS

Si votre proxy doit déchiffrer le trafic HTTPS pour injecter l'en-tête, assurez-vous qu'il est configuré pour l'interception SSL/TLS. Cela implique généralement :

  • Générez un certificat pour le proxy.

  • Installer le certificat du proxy sur les appareils des utilisateurs pour établir la confiance et éviter les erreurs de certificat.

Validation de l'en-tête

  • Gemini Code Assist valide automatiquement l'en-tête X-GeminiCodeAssist-Allowed-Domains et applique les restrictions.

  • Si l'en-tête ne correspond pas à au moins un domaine valide, la validation ne sera pas effectuée.

  • Si le domaine associé à l'authentification de l'utilisateur ne figure pas dans la liste autorisée, la requête est refusée. Par exemple, si l'utilisateur se connecte avec un compte Gmail et que seul example.com figure dans la liste des domaines autorisés, la demande est refusée.

Étape suivante

Pour en savoir plus sur le blocage de l'accès aux comptes personnels, consultez Bloquer l'accès aux comptes personnels.