Kontrolowanie dostępu do sieci w Gemini Code Assist za pomocą ograniczeń w domenie użytkownika

Ten dokument zawiera instrukcje dla administratorów sieci dotyczące konfigurowania sieci w celu ograniczenia dostępu do Gemini Code Assist na podstawie domen użytkowników. Ta funkcja umożliwia organizacjom kontrolowanie, którzy użytkownicy w ich sieci mogą korzystać z Gemini Code Assist, co zwiększa bezpieczeństwo i zapobiega nieautoryzowanemu dostępowi.

Przegląd

Możesz skonfigurować Gemini Code Assist tak, aby wymuszać ograniczenia domeny użytkownika za pomocą metody serwera proxy PITM (Person-in-the-Middle). Polega to na wstrzykiwaniu niestandardowego nagłówka HTTP, X-GeminiCodeAssist-Allowed-Domains, do żądań wysyłanych do Gemini Code Assist. Nagłówek zawiera listę dozwolonych domen, a backend Gemini Code Assist przetwarza tylko żądania użytkowników, których uwierzytelniona domena pasuje do jednej z dozwolonych domen.

Konfigurowanie serwera proxy w IDE

Aby skonfigurować serwer proxy w IDE, wykonaj te czynności:

VS Code

  1. Kliknij Plik > Ustawienia (Windows) lub Kod > Ustawienia > Ustawienia (macOS).

  2. Na karcie Użytkownik kliknij Aplikacja > Proxy.

  3. W polu pod nagłówkiem Proxy wpisz adres serwera proxy. Na przykład http://localhost:3128.

  4. Opcjonalnie: aby skonfigurować Gemini Code Assist tak, aby ignorował błędy certyfikatów, w sekcji Proxy Strict SSL zaznacz lub odznacz pole wyboru. To ustawienie dotyczy wszystkich profili.

IntelliJ

  1. Kliknij Plik > Ustawienia (Windows) lub IntelliJ IDEA > Ustawienia (macOS).

  2. Wybierz Wygląd i zachowanie > Ustawienia systemu > Serwer proxy HTTP.

  3. Kliknij Ręczna konfiguracja serwera proxy, a potem HTTP.

  4. W polu Nazwa hosta wpisz nazwę hosta serwera proxy.

  5. W polu Numer portu wpisz numer portu serwera proxy.

  6. Opcjonalnie: aby skonfigurować Gemini Code Assist tak, aby ignorował błędy certyfikatów, na pasku bocznym kliknij Narzędzia > Certyfikaty serwera, a następnie zaznacz lub odznacz opcję Automatycznie akceptuj niezaufane certyfikaty.

Konfigurowanie serwera proxy PITM

Aby skonfigurować serwer proxy PITM, wykonaj te czynności:

  1. Upewnij się, że Twoja sieć korzysta z serwera proxy PITM, który może przechwytywać i modyfikować ruch HTTPS.

  2. Skonfiguruj serwer proxy tak, aby przechwytywał wszystkie żądania wychodzące do punktu końcowego Gemini Code Assist (https://cloudcode-pa.googleapis.com). Podczas określania punktu końcowego Gemini Code Assist nie używaj symboli wieloznacznych (*).

  3. Skonfiguruj serwer proxy tak, aby wstrzykiwał nagłówek X-GeminiCodeAssist-Allowed-Domains do każdego żądania. Nagłówek powinien zawierać listę dozwolonych domen rozdzielonych przecinkami (np. example.com, yourcompany.net). Upewnij się, że nazwy domen są oddzielone przecinkami i nie zawierają symbolu @.

    Jeśli nagłówki nie zostaną rozpoznane jako co najmniej 1 prawidłowa domena, ograniczenia nie będą obowiązywać. Na przykład pusty nagłówek nie będzie stosować żadnych ograniczeń. domain nie zastosuje żadnych ograniczeń, ponieważ nie jest to prawidłowa nazwa domeny.

Gdy użytkownik spróbuje uzyskać dostęp do Gemini Code Assist z domeny, która nie jest uwzględniona na liście nagłówków, zobaczy komunikat informujący o tym, że administrator ograniczył możliwość korzystania z Gemini Code Assist w jego domenie.

Przechwytywanie SSL/TLS

Jeśli serwer proxy musi odszyfrować ruch HTTPS, aby wstawić nagłówek, upewnij się, że jest skonfigurowany do przechwytywania SSL/TLS. Zwykle obejmuje to:

  • Generowanie certyfikatu dla serwera proxy.

  • Zainstaluj certyfikat serwera proxy na urządzeniach użytkowników, aby ustanowić zaufanie i uniknąć błędów certyfikatu.

Weryfikacja nagłówka

  • Gemini Code Assist automatycznie weryfikuje nagłówek X-GeminiCodeAssist-Allowed-Domains i egzekwuje ograniczenia.

  • Jeśli nagłówek nie odnosi się do co najmniej 1 prawidłowej domeny, weryfikacja nie zostanie przeprowadzona.

  • Jeśli domena powiązana z uwierzytelnianiem użytkownika nie znajduje się na liście dozwolonych domen, żądanie zostanie odrzucone. Jeśli na przykład użytkownik loguje się za pomocą konta Gmail, a na liście dozwolonych domen znajduje się tylko example.com, żądanie zostanie odrzucone.

Co dalej?

Więcej informacji o blokowaniu dostępu do kont dla użytkowników indywidualnych znajdziesz w artykule Blokowanie dostępu do kont dla użytkowników indywidualnych.