Kiểm soát quyền truy cập mạng vào tính năng Trợ giúp lập trình của Gemini bằng các quy định hạn chế về miền của người dùng

Tài liệu này cung cấp hướng dẫn cho quản trị viên mạng để định cấu hình mạng nhằm hạn chế quyền truy cập vào Gemini Code Assist dựa trên miền của người dùng. Tính năng này cho phép các tổ chức kiểm soát những người dùng trong mạng của họ có thể sử dụng Gemini Code Assist, giúp tăng cường bảo mật và ngăn chặn truy cập trái phép.

Tổng quan

Bạn có thể định cấu hình Gemini Code Assist để thực thi các hạn chế về miền của người dùng bằng cách sử dụng phương pháp proxy Người trung gian (PITM). Việc này liên quan đến việc chèn một tiêu đề HTTP tuỳ chỉnh (X-GeminiCodeAssist-Allowed-Domains) vào các yêu cầu được gửi đến Gemini Code Assist. Tiêu đề này chỉ định một danh sách các miền được phép và phần phụ trợ Gemini Code Assist chỉ xử lý các yêu cầu từ những người dùng có miền đã xác thực khớp với một trong các miền được phép.

Định cấu hình một proxy trong IDE

Để định cấu hình một proxy trong IDE, hãy làm theo các bước sau:

VS Code

  1. Chuyển đến File > Settings (Tệp > Cài đặt) (đối với Windows) hoặc Code > Settings > Settings (Mã > Cài đặt > Cài đặt) (đối với macOS).

  2. Trong thẻ User (Người dùng), hãy chuyển đến Application (Ứng dụng) > Proxy (Uỷ quyền).

  3. Trong hộp bên dưới mục Proxy, hãy nhập địa chỉ của máy chủ proxy. Ví dụ: http://localhost:3128.

  4. Không bắt buộc: Để định cấu hình Gemini Code Assist bỏ qua lỗi chứng chỉ, trong phần Proxy Strict SSL (Proxy SSL nghiêm ngặt), hãy chọn hoặc bỏ chọn hộp đánh dấu. Chế độ cài đặt này áp dụng cho tất cả các hồ sơ.

IntelliJ

  1. Chuyển đến mục File > Settings (Tệp > Cài đặt) (đối với Windows) hoặc IntelliJ IDEA > Settings (IntelliJ IDEA > Cài đặt) (đối với macOS).

  2. Chuyển đến phần Appearance & Behavior (Giao diện và hành vi) > System Settings (Cài đặt hệ thống) > HTTP Proxy (Proxy HTTP).

  3. Chọn Cấu hình proxy thủ công, rồi chọn HTTP.

  4. Trong trường Tên máy chủ, hãy nhập tên máy chủ của máy chủ proxy.

  5. Trong trường Số cổng, hãy nhập số cổng của máy chủ proxy.

  6. Không bắt buộc: Để định cấu hình Gemini Code Assist bỏ qua lỗi chứng chỉ, trong thanh bên, hãy nhấp vào Tools (Công cụ) > Server Certificates (Chứng chỉ máy chủ), sau đó chọn hoặc bỏ chọn Accept non-trusted certificates automatically (Tự động chấp nhận chứng chỉ không đáng tin cậy).

Định cấu hình proxy PITM

Để định cấu hình proxy PITM, hãy làm theo các bước sau:

  1. Đảm bảo rằng mạng của bạn sử dụng một proxy PITM có khả năng chặn và sửa đổi lưu lượng truy cập HTTPS.

  2. Định cấu hình proxy để chặn tất cả các yêu cầu gửi đi đến điểm cuối Gemini Code Assist (https://cloudcode-pa.googleapis.com). Không dùng ký tự đại diện (*) khi bạn chỉ định điểm cuối Gemini Code Assist.

  3. Định cấu hình proxy để chèn tiêu đề X-GeminiCodeAssist-Allowed-Domains vào mỗi yêu cầu. Tiêu đề phải chứa một danh sách các miền được phép phân tách bằng dấu phẩy (ví dụ: example.com, yourcompany.net). Đảm bảo rằng tên miền được phân tách bằng dấu phẩy và không có biểu tượng @.

    Nếu tiêu đề không được phân giải thành ít nhất một miền hợp lệ, thì các quy tắc hạn chế sẽ không áp dụng. Ví dụ: tiêu đề trống sẽ không áp dụng bất kỳ hạn chế nào. domain sẽ không áp dụng bất kỳ hạn chế nào vì đây không phải là tên miền hợp lệ.

Khi người dùng cố gắng truy cập vào Gemini Code Assist từ một miền không có trong danh sách tiêu đề, họ sẽ thấy một thông báo cho biết quản trị viên đã hạn chế họ sử dụng Gemini Code Assist trên miền của họ.

Chặn SSL/TLS

Nếu proxy của bạn cần giải mã lưu lượng truy cập HTTPS để chèn tiêu đề, hãy đảm bảo rằng proxy được định cấu hình để chặn SSL/TLS. Việc này thường bao gồm:

  • Tạo chứng chỉ cho proxy.

  • Cài đặt chứng chỉ của proxy trên thiết bị của người dùng để thiết lập độ tin cậy và tránh lỗi chứng chỉ.

Xác thực tiêu đề

  • Gemini Code Assist tự động xác thực tiêu đề X-GeminiCodeAssist-Allowed-Domains và thực thi các quy định hạn chế.

  • Nếu tiêu đề không phân giải thành ít nhất một miền hợp lệ, thì quá trình xác thực sẽ không được thực hiện.

  • Nếu miền liên kết với hoạt động xác thực của người dùng không có trong danh sách cho phép, thì yêu cầu sẽ bị từ chối. Ví dụ: nếu người dùng đăng nhập bằng tài khoản gmail và chỉ example.com có trong danh sách cho phép, thì yêu cầu sẽ bị từ chối.

Bước tiếp theo

Để tìm hiểu thêm về cách chặn quyền truy cập vào tài khoản người dùng cá nhân, hãy xem bài viết Chặn quyền truy cập vào tài khoản người dùng cá nhân.