שליטה בגישה לרשת ל-Gemini Code Assist באמצעות הגבלות על דומיינים של משתמשים

במסמך הזה מפורטות הוראות לאדמינים של רשתות, שמאפשרות להם להגדיר את הרשתות שלהם כך שיגבילו את הגישה ל-Gemini Code Assist על סמך דומיינים של משתמשים. התכונה הזו מאפשרת לארגונים לקבוע אילו משתמשים ברשת שלהם יוכלו להשתמש ב-Gemini Code Assist, וכך לשפר את האבטחה ולמנוע גישה לא מורשית.

סקירה כללית

אפשר להגדיר את Gemini Code Assist לאכוף הגבלות על דומיינים של משתמשים באמצעות שרת proxy מסוג אדם בתווך (PITM). לשם כך, צריך להחדיר כותרת HTTP מותאמת אישית, X-GeminiCodeAssist-Allowed-Domains, לבקשות שנשלחות אל Gemini Code Assist. הכותרת מציינת רשימה של דומיינים מותרים, והקצה העורפי של Gemini Code Assist מעבד רק בקשות ממשתמשים שהדומיין המאומת שלהם תואם לאחד מהדומיינים המותרים.

הגדרת שרת proxy בסביבת הפיתוח המשולבת (IDE)

כדי להגדיר שרת proxy בסביבת הפיתוח המשולבת:

VS Code

  1. עוברים אל File (קובץ) > Settings (הגדרות) (ב-Windows), או אל Code (קוד) > Settings (הגדרות) > Settings (הגדרות) (ב-macOS).

  2. בכרטיסייה User, עוברים אל Application > Proxy.

  3. בתיבה שמתחת לProxy, מזינים את הכתובת של שרת ה-proxy. לדוגמה, http://localhost:3128.

  4. אופציונלי: כדי להגדיר ל-Gemini Code Assist להתעלם משגיאות אישור, בקטע Proxy Strict SSL מסמנים או מבטלים את הסימון בתיבה. ההגדרה הזו חלה על כל הפרופילים.

IntelliJ

  1. עוברים אל File (קובץ) > Settings (הגדרות) (ב-Windows) או IntelliJ IDEA > Settings (הגדרות) (ב-macOS).

  2. עוברים אל מראה והתנהגות > הגדרות מערכת > שרת proxy ל-HTTP.

  3. בוחרים באפשרות Manual proxy configuration (הגדרה ידנית של שרת proxy) ואז באפשרות HTTP.

  4. בשדה Host name, מזינים את שם המארח של שרת ה-proxy.

  5. בשדה Port number, מזינים את מספר היציאה של שרת ה-proxy.

  6. אופציונלי: כדי להגדיר ל-Gemini Code Assist להתעלם משגיאות אישור, לוחצים על Tools (כלים) > Server Certificates (אישורי שרת) בסרגל הצד, ובוחרים באפשרות Accept non-trusted certificates automatically (קבלת אישורים לא מהימנים באופן אוטומטי) או מבטלים את הבחירה בה.

הגדרת שרת proxy של PITM

כדי להגדיר את שרת ה-proxy של PITM:

  1. חשוב לוודא שהרשת משתמשת בשרתי proxy מסוג PITM שיכולים ליירט ולשנות את תעבורת ה-HTTPS.

  2. מגדירים את שרת ה-proxy כך שיחטוף את כל הבקשות היוצאות לנקודת הקצה של Gemini Code Assist‏ (https://cloudcode-pa.googleapis.com). אין להשתמש בתווים כלליים (*) כשמציינים את נקודת הקצה של Gemini Code Assist.

  3. מגדירים את שרת ה-proxy להחדרת הכותרת X-GeminiCodeAssist-Allowed-Domains לכל בקשה. הכותרת צריכה להכיל רשימה של דומיינים מותרים, מופרדים בפסיקים (למשל, example.com, yourcompany.net). חשוב לוודא ששמות הדומיינים מופרדים בפסיקים ושהם לא כוללים את הסמל @.

    אם המערכת לא תצליח לפתור את הכותרות לפחות לדומיין חוקי אחד, ההגבלות לא יחולו. לדוגמה, כותרת ריקה לא תחול הגבלות. לא יחולו הגבלות על domain כי זה לא שם דומיין חוקי.

כשמשתמש מנסה לגשת ל-Gemini Code Assist מדומיין שלא נכלל ברשימת הכותרות, מוצגת לו הודעה על כך שהאדמין שלו הגביל את השימוש שלו ב-Gemini Code Assist בדומיין.

יירוט SSL/TLS

אם שרת ה-proxy צריך לפענח תנועה ב-HTTPS כדי להחדיר את הכותרת, צריך לוודא שהוא מוגדר ליירט נתוני SSL/TLS. בדרך כלל, התהליך כולל:

  • יצירת אישור לשרת ה-proxy.

  • התקנת האישור של שרת ה-proxy במכשירי המשתמשים כדי ליצור אמון ולהימנע משגיאות אישור.

אימות כותרות

  • Gemini Code Assist מאמת באופן אוטומטי את הכותרת X-GeminiCodeAssist-Allowed-Domains ואוכף את ההגבלות.

  • אם הכותרת לא מנותבת לדומיין תקין אחד לפחות, האימות לא יתבצע.

  • אם הדומיין של המשתמש לא מופיע ברשימת ההיתרים, הבקשה נדחית.

המאמרים הבאים

למידע נוסף על חסימת הגישה לחשבונות פרטיים, ראו חסימת הגישה לחשבונות פרטיים.