使用用户网域限制功能控制对 Gemini Code Assist 的网络访问

本文档提供了有关网络管理员如何配置其网络以根据用户网域限制对 Gemini Code Assist 的访问权限的说明。借助此功能,组织可以控制其网络中哪些用户有权使用 Gemini Code Assist,从而增强安全性并防止未经授权的访问。

概览

您可以将 Gemini Code Assist 配置为使用中间人 (PITM) 代理方法强制执行用户网域限制。这涉及将自定义 HTTP 标头 X-GeminiCodeAssist-Allowed-Domains 注入对 Gemini Code Assist 发出的请求中。该标头指定了允许的网域列表,Gemini Code Assist 后端仅处理来自身份验证网域与允许网域之一匹配的用户的请求。

在 IDE 中配置代理

如需在 IDE 中配置代理,请按以下步骤操作:

VS Code

  1. 依次前往文件 > 设置(适用于 Windows),或代码 > 设置 > 设置(适用于 macOS)。

  2. 用户标签页中,依次前往应用 > 代理

  3. 代理下方的框中,输入代理服务器的地址。例如 http://localhost:3128

  4. 可选:如需配置 Gemini Code Assist 以忽略证书错误,请在 Proxy Strict SSL 下方选中或取消选中相应复选框。此设置适用于所有配置文件。

IntelliJ

  1. 依次前往文件 > 设置 (Windows) 或 IntelliJ IDEA > 设置 (macOS)。

  2. 依次前往外观和行为 > 系统设置 > HTTP 代理

  3. 选择手动代理配置,然后选择 HTTP

  4. 主机名字段中,输入您的代理服务器的主机名。

  5. 端口号字段中,输入代理服务器的端口号。

  6. 可选:如需配置 Gemini Code Assist 以忽略证书错误,请在边栏中依次点击工具 > 服务器证书,然后选择或取消选择自动接受不受信任的证书

配置 PITM 代理

如需配置 PITM 代理,请按以下步骤操作:

  1. 确保您的网络使用能够拦截和修改 HTTPS 流量的 PITM 代理。

  2. 将代理配置为拦截所有发送到 Gemini Code Assist 端点 (https://cloudcode-pa.googleapis.com) 的出站请求。指定 Gemini Code Assist 端点时,请勿使用通配符 (*)。

  3. 将代理配置为将 X-GeminiCodeAssist-Allowed-Domains 标头注入到每个请求中。该标头应包含一个以英文逗号分隔的允许域名列表(例如,example.comyourcompany.net)。请确保域名以英文逗号分隔,并且不包含 @ 符号。

    如果标头未解析为至少一个有效网域,则不会应用限制。例如,空标头不会应用任何限制。 domain 不是有效的域名,因此不会受到任何限制。

当用户尝试从未包含在标头列表中的网域访问 Gemini Code Assist 时,系统会显示一条消息,告知他们管理员已限制其在网域中使用 Gemini Code Assist。

SSL/TLS 拦截

如果您的代理需要解密 HTTPS 流量以注入标头,请确保它已针对 SSL/TLS 拦截进行配置。这通常包括:

  • 为代理生成证书。

  • 在用户设备上安装代理的证书,以建立信任并避免证书错误。

标头验证

  • Gemini Code Assist 会自动验证 X-GeminiCodeAssist-Allowed-Domains 标头并强制执行限制。

  • 如果该标头未解析为至少一个有效域名,则不会执行验证。

  • 如果与用户身份验证相关联的网域不在允许列表中,请求将被拒绝。例如,如果用户使用 Gmail 账号登录,但允许列表中只有 example.com,则请求会被拒绝。

后续步骤

如需详细了解如何禁止访问个人用户账号,请参阅禁止访问个人用户账号