Controle o acesso à rede do Gemini Code Assist com restrições de domínio do utilizador

Este documento fornece instruções para os administradores de rede configurarem as respetivas redes de modo a restringir o acesso ao Gemini Code Assist com base nos domínios dos utilizadores. Esta funcionalidade permite que as organizações controlem que utilizadores na respetiva rede podem usar o Gemini Code Assist, melhorando a segurança e impedindo o acesso não autorizado.

Vista geral

Pode configurar o Gemini Code Assist para aplicar restrições de domínio do utilizador através do cabeçalho HTTP personalizado X-GeminiCodeAssist-Allowed-Domains. Este cabeçalho especifica uma lista de domínios permitidos e o back-end do Gemini Code Assist só processa pedidos de utilizadores cujo domínio autenticado corresponda a um dos domínios permitidos.

Pode usar uma abordagem de proxy de pessoa no meio (PITM) para inserir este cabeçalho em pedidos feitos ao Gemini Code Assist com origem na sua rede.

Configure um proxy no seu IDE

Para configurar um proxy no seu IDE, siga estes passos:

VS Code

  1. Navegue para Ficheiro > Definições (para Windows) ou Código > Definições > Definições (para macOS).

  2. No separador Utilizador, navegue para Aplicação > Proxy.

  3. Na caixa abaixo de Proxy, introduza o endereço do seu servidor proxy. Por exemplo http://localhost:3128.

  4. Opcional: para configurar o Gemini Code Assist para ignorar erros de certificado, em Proxy Strict SSL, selecione ou desmarque a caixa de verificação. Esta definição aplica-se a todos os perfis.

IntelliJ

  1. Navegue para Ficheiro > Definições (para Windows) ou IntelliJ IDEA > Definições (para macOS).

  2. Navegue para Aspeto e comportamento > Definições do sistema > Proxy HTTP.

  3. Selecione Configuração manual do proxy e, de seguida, selecione HTTP.

  4. No campo Nome do anfitrião, introduza o nome do anfitrião do seu servidor proxy.

  5. No campo Número da porta, introduza o número da porta do seu servidor proxy.

  6. Opcional: para configurar o Gemini Code Assist para ignorar erros de certificado, na barra lateral, clique em Ferramentas > Certificados do servidor e, em seguida, selecione ou desmarque a opção Aceitar automaticamente certificados não fidedignos.

Configure o proxy PITM

Para configurar o proxy PITM, siga estes passos:

  1. Certifique-se de que a sua rede usa um proxy PITM capaz de intercetar e modificar o tráfego HTTPS.

  2. Configure o proxy para intercetar todos os pedidos de saída para o ponto final do Gemini Code Assist (https://cloudcode-pa.googleapis.com). Não use carateres universais (*) quando especificar o ponto final do Gemini Code Assist.

  3. Configure o proxy para injetar o cabeçalho X-GeminiCodeAssist-Allowed-Domains em cada pedido. O cabeçalho deve conter uma lista de domínios permitidos separados por vírgulas (por exemplo, example.com, yourcompany.net). Certifique-se de que os nomes de domínios estão separados por vírgulas e não incluem o símbolo @.

    Se os cabeçalhos não forem resolvidos em, pelo menos, um domínio válido, as restrições não são aplicadas. Por exemplo, um cabeçalho vazio não aplica restrições. domain não aplica restrições, uma vez que não é um nome de domínio válido.

Quando um utilizador tenta aceder ao Gemini Code Assist a partir de um domínio não incluído na lista de cabeçalhos, vê uma mensagem a informar que o respetivo administrador restringiu a utilização do Gemini Code Assist no respetivo domínio.

Interceção SSL/TLS

Se o seu proxy precisar de desencriptar o tráfego HTTPS para injetar o cabeçalho, certifique-se de que está configurado para a interceção de SSL/TLS. Normalmente, isto envolve:

  • Gerar um certificado para o proxy.

  • Instalar o certificado do proxy nos dispositivos dos utilizadores para estabelecer confiança e evitar erros de certificado.

Validação do cabeçalho

  • O Gemini Code Assist valida automaticamente o cabeçalho X-GeminiCodeAssist-Allowed-Domains e aplica as restrições.

  • Se o cabeçalho não for resolvido para, pelo menos, um domínio válido, a validação não é realizada.

  • Se o domínio associado à autenticação do utilizador não estiver na lista de autorizações, o pedido é rejeitado. Por exemplo, se o utilizador iniciar sessão com uma conta do Gmail e apenas example.com estiver na lista permitida, o pedido é rejeitado.

O que se segue?

Para saber como bloquear o acesso a contas de consumidor, consulte o artigo Bloqueie o acesso a contas de consumidor.