Controlar o acesso à rede do Gemini Code Assist com restrições de domínio do usuário

Este documento fornece instruções para administradores de rede configurarem as redes deles para restringir o acesso ao Gemini Code Assist com base em domínios de usuários. Com esse recurso, as organizações controlam quais usuários da rede podem usar o Gemini Code Assist, aumentando a segurança e evitando acessos não autorizados.

Visão geral

É possível configurar o Gemini Code Assist para aplicar restrições de domínio do usuário com o cabeçalho HTTP personalizado X-GeminiCodeAssist-Allowed-Domains. Esse cabeçalho especifica uma lista de domínios permitidos, e o back-end do Gemini Code Assist só processa solicitações de usuários com um domínio autenticado que corresponde a um dos domínios permitidos.

Você pode usar uma abordagem de proxy do tipo "person-in-the-middle" (PITM) para inserir esse cabeçalho em solicitações feitas ao Gemini Code Assist que se originam na sua rede.

Configurar um proxy no ambiente de desenvolvimento integrado

Para configurar um proxy no seu ambiente de desenvolvimento integrado, siga estas etapas:

VS Code

  1. Acesse Arquivo > Configurações (Windows) ou Código > Configurações > Configurações (macOS).

  2. Na guia Usuário, acesse Aplicativo > Proxy.

  3. Na caixa em Proxy, insira o endereço do seu servidor proxy, por exemplo, http://localhost:3128.

  4. Opcional: para configurar o Gemini Code Assist de forma a ignorar erros de certificado, em Proxy Strict SSL, marque ou desmarque a caixa de seleção. Essa configuração se aplica a todos os perfis.

IntelliJ

  1. Acesse Arquivo > Configurações (Windows) ou IntelliJ IDEA > Configurações (macOS).

  2. Acesse Aparência e comportamento > Configurações do sistema > Proxy HTTP.

  3. Selecione Configuração manual de proxy e depois HTTP.

  4. No campo Nome do host, insira o nome do host do servidor proxy.

  5. No campo Número da porta, insira o número da porta do servidor proxy.

  6. Opcional: para configurar o Gemini Code Assist de forma a ignorar erros de certificado, na barra lateral, clique em Ferramentas > Certificados do servidor e selecione ou desmarque Aceitar certificados não confiáveis automaticamente.

Configurar o proxy PITM

Para configurar seu proxy PITM, siga estas etapas:

  1. Verifique se a rede usa um proxy PITM capaz de interceptar e modificar o tráfego HTTPS.

  2. Configure o proxy para interceptar todas as solicitações de saída para o endpoint do Gemini Code Assist (https://cloudcode-pa.googleapis.com). Não use caracteres curinga (*) ao especificar o endpoint do Gemini Code Assist.

  3. Configure o proxy para injetar o cabeçalho X-GeminiCodeAssist-Allowed-Domains em cada solicitação. O cabeçalho deve conter uma lista separada por vírgulas de domínios permitidos (por exemplo, example.com, yourcompany.net). Garanta que os nomes de domínio estejam separados por vírgulas e não incluam o símbolo @.

    Se os cabeçalhos não forem resolvidos em pelo menos um domínio válido, as restrições não serão aplicadas. Por exemplo, um cabeçalho vazio não aplica restrições. domain não vai aplicar nenhuma restrição porque não é um nome de domínio válido.

Quando um usuário tenta acessar o Gemini Code Assist em um domínio não incluído na lista de cabeçalho, ele recebe uma mensagem informando que o administrador restringiu o uso do Gemini Code Assist no domínio.

Interceptação de SSL/TLS

Se o proxy precisar descriptografar o tráfego HTTPS para injetar o cabeçalho, verifique se ele está configurado para interceptação de SSL/TLS. Isso geralmente envolve:

  • Gerar um certificado para o proxy.

  • Instalar o certificado do proxy nos dispositivos dos usuários para estabelecer confiança e evitar erros de certificado.

Validação do cabeçalho

  • O Gemini Code Assist valida automaticamente o cabeçalho X-GeminiCodeAssist-Allowed-Domains e aplica as restrições.

  • Se o cabeçalho não resolver pelo menos um domínio válido, a validação não será realizada.

  • Se o domínio associado à autenticação do usuário não estiver na lista permitida, a solicitação será rejeitada. Por exemplo, se o usuário fizer login com uma conta do Gmail e apenas example.com estiver na lista permitida, a solicitação será rejeitada.

A seguir

Para saber mais sobre como bloquear o acesso a contas pessoais, consulte Bloquear o acesso a contas pessoais.