Controllare l'accesso alla rete a Gemini Code Assist con le limitazioni del dominio utente

Questo documento fornisce istruzioni per gli amministratori di rete per configurare le reti in modo da limitare l'accesso a Gemini Code Assist in base ai domini utente. Questa funzionalità consente alle organizzazioni di controllare quali utenti all'interno della rete possono utilizzare Gemini Code Assist, migliorando la sicurezza e impedendo l'accesso non autorizzato.

Panoramica

Puoi configurare Gemini Code Assist per applicare le limitazioni del dominio utente utilizzando l'intestazione HTTP personalizzata X-GeminiCodeAssist-Allowed-Domains. Questa intestazione specifica un elenco di domini consentiti e il backend di Gemini Code Assist elabora solo le richieste degli utenti il cui dominio autenticato corrisponde a uno dei domini consentiti.

Puoi utilizzare un approccio proxy Person-in-the-Middle (PITM) per inserire questa intestazione nelle richieste a Gemini Code Assist provenienti dalla tua rete.

Configurare un proxy nell'IDE

Per configurare un proxy nell'IDE:

VS Code

  1. Vai a File > Impostazioni (per Windows) o Code > Impostazioni > Impostazioni (per macOS).

  2. Nella scheda Utente, vai ad Applicazione > Proxy.

  3. Nella casella sotto Proxy, inserisci l'indirizzo del server proxy. Ad esempio http://localhost:3128.

  4. (Facoltativo) Per configurare Gemini Code Assist in modo che ignori gli errori dei certificati , seleziona o deseleziona la casella di controllo in Proxy Strict SSL. Questa impostazione si applica a tutti i profili.

IntelliJ

  1. Vai a File > Impostazioni (per Windows) o IntelliJ IDEA > Impostazioni (per macOS).

  2. Vai a Aspetto e comportamento > Impostazioni di sistema > Proxy HTTP.

  3. Seleziona Configurazione manuale del proxy, quindi seleziona HTTP.

  4. Nel campo Nome host, inserisci il nome host del server proxy.

  5. Nel campo Numero porta, inserisci il numero di porta del server proxy.

  6. (Facoltativo) Per configurare Gemini Code Assist in modo che ignori gli errori dei certificati, nella barra laterale fai clic su Strumenti > Certificati server, quindi seleziona o deseleziona Accetta automaticamente i certificati non attendibili.

Configurare il proxy PITM

Per configurare il proxy PITM:

  1. Assicurati che la rete utilizzi un proxy PITM in grado di intercettare e modificare il traffico HTTPS.

  2. Configura il proxy in modo che intercetti tutte le richieste in uscita all'endpoint di Gemini Code Assist (https://cloudcode-pa.googleapis.com). Non utilizzare caratteri jolly (*) quando specifichi l'endpoint di Gemini Code Assist.

  3. Configura il proxy in modo che inserisca l'intestazione X-GeminiCodeAssist-Allowed-Domains in ogni richiesta. L'intestazione deve contenere un elenco separato da virgole di domini consentiti (ad es. example.com, yourcompany.net). Assicurati che i nomi di dominio siano separati da virgole e non includano il simbolo @.

    Se le intestazioni non vengono risolte in almeno un dominio valido, le limitazioni non verranno applicate. Ad esempio, un'intestazione vuota non applicherà alcuna limitazione. domain non applicherà alcuna limitazione perché non è un nome di dominio valido.

Quando un utente tenta di accedere a Gemini Code Assist da un dominio non incluso nell'elenco delle intestazioni, visualizza un messaggio che indica che l'amministratore ha limitato l'utilizzo di Gemini Code Assist nel suo dominio.

Intercettazione SSL/TLS

Se il proxy deve decriptare il traffico HTTPS per inserire l'intestazione, assicurati che sia configurato per l'intercettazione SSL/TLS. In genere:

  • Genera un certificato per il proxy.

  • Installa il certificato del proxy sui dispositivi degli utenti per stabilire l'attendibilità ed evitare errori dei certificati.

Convalida dell'intestazione

  • Gemini Code Assist convalida automaticamente l'intestazione X-GeminiCodeAssist-Allowed-Domains e applica le limitazioni.

  • Se l'intestazione non viene risolta in almeno un dominio valido, la convalida non verrà eseguita.

  • Se il dominio associato all'autenticazione dell'utente non è presente nell'elenco dei domini consentiti, la richiesta viene rifiutata. Ad esempio, se l'utente accede con un account Gmail e nell'elenco dei domini consentiti è presente solo example.com, la richiesta viene rifiutata.

Passaggi successivi

Per saperne di più su come bloccare l'accesso agli account consumer, vedi Bloccare l'accesso agli account consumer.