Contrôler l'accès réseau à Gemini Code Assist avec les restrictions de domaine utilisateur

Ce document fournit des instructions aux administrateurs réseau pour configurer leurs réseaux afin de restreindre l'accès à Gemini Code Assist en fonction des domaines utilisateur. Cette fonctionnalité permet aux organisations de contrôler quels utilisateurs de leur réseau peuvent utiliser Gemini Code Assist, ce qui renforce la sécurité et empêche les accès non autorisés.

Présentation

Vous pouvez configurer Gemini Code Assist de façon à ce qu'il applique des restrictions de domaine utilisateur en utilisant l'en-tête HTTP personnalisé X-GeminiCodeAssist-Allowed-Domains. Cet en-tête spécifie une liste de domaines autorisés, et le backend Gemini Code Assist ne traite que les requêtes des utilisateurs dont le domaine authentifié correspond à l'un des domaines autorisés.

Vous pouvez utiliser une méthode par proxy PITM ("person in the middle") pour insérer cet en-tête dans les requêtes envoyées à Gemini Code Assist et provenant de votre réseau.

Configurer un proxy dans votre IDE

Pour configurer un proxy dans votre IDE, procédez comme suit :

VS Code

  1. Pour Windows, accédez à File > Settings (Fichier > Paramètres). Pour macOS, accédez à Code > Settings > Settings (Code > Paramètres > Paramètres).

  2. Dans l'onglet User (Utilisateur), accédez à Application > Proxy.

  3. Dans le champ situé sous Proxy, saisissez l'adresse de votre serveur proxy. Par exemple, http://localhost:3128.

  4. Facultatif : Pour configurer Gemini Code Assist de façon à ce qu'il ignore les erreurs de certificat, cochez ou décochez la case sous Proxy Strict SSL. Ce paramètre s'applique à tous les profils.

IntelliJ

  1. Pour Windows, accédez à File > Settings (Fichier > Paramètres). Pour macOS, accédez à IntelliJ IDEA > Settings (Paramètres).

  2. Accédez à Apparence et comportement > Paramètres système > Proxy HTTP.

  3. Sélectionnez Manual proxy configuration (Configuration manuelle du proxy), puis HTTP.

  4. Dans le champ Host name (Nom d'hôte), saisissez le nom d'hôte de votre serveur proxy.

  5. Dans le champ Port number (Numéro de port), saisissez le numéro de port de votre serveur proxy.

  6. Facultatif : Pour configurer Gemini Code Assist de façon à ce qu'il ignore les erreurs de certificat, cliquez sur Tools > Server Certificates (Outils > Certificats du serveur) dans la barre latérale, puis cochez ou décochez Accept non-trusted certificates automatically (Accepter automatiquement les certificats non approuvés).

Configurer le proxy PITM

Pour configurer votre proxy PITM, procédez comme suit :

  1. Assurez-vous que votre réseau utilise un proxy PITM capable d'intercepter et de modifier le trafic HTTPS.

  2. Configurez le proxy pour intercepter toutes les requêtes sortantes vers le point de terminaison Gemini Code Assist (https://cloudcode-pa.googleapis.com). N'utilisez pas de caractères génériques (*) lorsque vous spécifiez le point de terminaison Gemini Code Assist.

  3. Configurez le proxy pour injecter l'en-tête X-GeminiCodeAssist-Allowed-Domains dans chaque requête. L'en-tête doit contenir une liste de domaines autorisés séparés par une virgule (par exemple, example.com, yourcompany.net). Assurez-vous que les noms de domaine sont séparés par des virgules et n'incluent pas le symbole @.

    Si les en-têtes ne comprennent pas au moins un domaine valide, les restrictions ne s'appliqueront pas. Par exemple, un en-tête vide n'appliquera aucune restriction. domain n'appliquera aucune restriction, car il ne s'agit pas d'un nom de domaine valide.

Lorsqu'un utilisateur tente d'accéder à Gemini Code Assist depuis un domaine ne figurant pas dans la liste d'en-tête, un message l'informe que son administrateur lui a interdit d'utiliser Gemini Code Assist sur son domaine.

Interception SSL/TLS

Si votre proxy doit déchiffrer le trafic HTTPS pour injecter l'en-tête, assurez-vous qu'il est configuré pour l'interception SSL/TLS. Cela implique généralement les étapes suivantes :

  • Générer un certificat pour le proxy

  • Installer le certificat du proxy sur les appareils des utilisateurs pour établir une relation de confiance et éviter les erreurs de certificat

Validation de l'en-tête

  • Gemini Code Assist valide automatiquement l'en-tête X-GeminiCodeAssist-Allowed-Domains et applique les restrictions.

  • Si l'en-tête ne comprend pas au moins un domaine valide, la validation ne sera pas effectuée.

  • Si le domaine associé à l'authentification de l'utilisateur ne figure pas dans la liste autorisée, la requête est refusée. Par exemple, si l'utilisateur se connecte avec un compte Gmail et que seul example.com figure dans la liste des domaines autorisés, la requête est refusée.

Étapes suivantes

Pour en savoir plus sur le blocage de l'accès aux comptes personnels, consultez Bloquer l'accès aux comptes personnels.