שליטה בגישה לרשת ל-Gemini Code Assist באמצעות הגבלות על דומיינים של משתמשים

במאמר הזה מוסבר איך אדמינים של רשתות יכולים להגדיר את הרשתות שלהם כדי להגביל את הגישה ל-Gemini Code Assist על סמך דומיינים של משתמשים. התכונה הזו מאפשרת לארגונים לקבוע אילו משתמשים ברשת שלהם יכולים להשתמש ב-Gemini Code Assist, וכך לשפר את האבטחה ולמנוע גישה לא מורשית.

סקירה כללית

אתם יכולים להגדיר את Gemini Code Assist כך שיאכוף הגבלות על דומיין המשתמש באמצעות גישת פרוקסי של אדם באמצע (PITM). הפעולה הזו כוללת הוספה של כותרת HTTP מותאמת אישית, X-GeminiCodeAssist-Allowed-Domains, לבקשות שנשלחות אל Gemini Code Assist. הכותרת מציינת רשימה של דומיינים מותרים, והקצה העורפי של Gemini Code Assist מעבד רק בקשות ממשתמשים שהדומיין המאומת שלהם תואם לאחד הדומיינים המותרים.

הגדרת שרת proxy בסביבת הפיתוח המשולבת

כדי להגדיר שרת proxy בסביבת הפיתוח המשולבת (IDE), פועלים לפי השלבים הבאים:

VS Code

  1. עוברים אל קובץ > הגדרות (ב-Windows) או אל קוד > הגדרות > הגדרות (ב-macOS).

  2. בכרטיסייה User (משתמש), עוברים אל Application (אפליקציה) > Proxy (שרת Proxy).

  3. בתיבה שמתחת לProxy, מזינים את הכתובת של שרת ה-Proxy. לדוגמה, http://localhost:3128.

  4. אופציונלי: כדי להגדיר את Gemini Code Assist להתעלם משגיאות באישור, מסמנים או מבטלים את הסימון בתיבת הסימון שליד Proxy Strict SSL. ההגדרה הזו חלה על כל הפרופילים.

IntelliJ

  1. עוברים אל File (קובץ) > Settings (הגדרות) ב-Windows או אל IntelliJ IDEA > Settings (הגדרות) ב-macOS.

  2. עוברים אל מראה והתנהגות > הגדרות מערכת > HTTP Proxy.

  3. בוחרים באפשרות Manual proxy configuration (הגדרה ידנית של שרת Proxy) ואז בוחרים באפשרות HTTP.

  4. בשדה שם המארח, מזינים את שם המארח של שרת ה-proxy.

  5. בשדה מספר היציאה, מזינים את מספר היציאה של שרת ה-proxy.

  6. אופציונלי: כדי להגדיר את Gemini Code Assist כך שיתעלם משגיאות באישור, בסרגל הצד לוחצים על כלים > אישורים של שרתים ואז מסמנים או מבטלים את הסימון של קבלת אישורים לא מהימנים באופן אוטומטי.

הגדרת שרת proxy של PITM

כדי להגדיר את שרת ה-proxy של PITM, פועלים לפי השלבים הבאים:

  1. מוודאים שהרשת שלכם משתמשת ב-proxy מסוג PITM שיכול ליירט ולשנות תנועה מסוג HTTPS.

  2. מגדירים את השרת הפרוקסי ליירוט כל הבקשות היוצאות לנקודת הקצה של Gemini Code Assist‏ (https://cloudcode-pa.googleapis.com). כשמציינים את נקודת הקצה של Gemini Code Assist, לא משתמשים בתווים כלליים (*).

  3. מגדירים את ה-proxy כך שיחדיר את הכותרת X-GeminiCodeAssist-Allowed-Domains לכל בקשה. הכותרת צריכה להכיל רשימה של דומיינים מותרים, מופרדים בפסיקים (לדוגמה, ‫example.com, yourcompany.net). חשוב לוודא ששמות הדומיינים מופרדים באמצעות פסיקים ושלא מופיע בהם הסמל @.

    אם הכותרות לא יתורגמו לדומיין תקין אחד לפחות, ההגבלות לא יחולו. לדוגמה, כותרת ריקה לא תחיל הגבלות. domain לא יחולו הגבלות כי זה לא שם דומיין תקין.

כשמשתמש מנסה לגשת ל-Gemini Code Assist מדומיין שלא נכלל ברשימת הכותרות, מוצגת לו הודעה שהאדמין הגביל את השימוש שלו ב-Gemini Code Assist בדומיין.

יירוט של SSL/TLS

אם ה-proxy צריך לפענח תנועת HTTPS כדי להוסיף את הכותרת, צריך לוודא שהוא מוגדר ליירוט SSL/TLS. בדרך כלל התהליך כולל:

  • המערכת יוצרת אישור לשרת ה-proxy.

  • התקנת האישור של השרת הפרוקסי במכשירי המשתמשים כדי ליצור אמון ולמנוע שגיאות באישור.

אימות הכותרת

  • ‫Gemini Code Assist מאמת באופן אוטומטי את הכותרת X-GeminiCodeAssist-Allowed-Domains ומחיל את ההגבלות.

  • אם הכותרת לא מפנה לדומיין תקין אחד לפחות, האימות לא יתבצע.

  • אם הדומיין שמשויך לאימות של המשתמש לא נמצא ברשימת הדומיינים המורשים, הבקשה נדחית. לדוגמה, אם המשתמש מתחבר באמצעות חשבון Gmail ורק example.com נמצא ברשימת ההיתרים, הבקשה נדחית.

המאמרים הבאים

מידע נוסף על חסימת הגישה לחשבונות פרטיים זמין במאמר בנושא חסימת הגישה לחשבונות פרטיים.