Cette page a été traduite par l'API Cloud Translation.

Contrôler l'accès réseau à Gemini Code Assist avec des restrictions de domaine utilisateur

Ce document explique comment les administrateurs réseau peuvent configurer leurs réseaux pour restreindre l'accès à Gemini Code Assist en fonction des domaines utilisateur. Cette fonctionnalité permet aux organisations de contrôler les utilisateurs de leur réseau qui peuvent utiliser Gemini Code Assist, ce qui renforce la sécurité et empêche les accès non autorisés.

Présentation

Vous pouvez configurer Gemini Code Assist pour appliquer des restrictions de domaine utilisateur à l'aide d'une approche de proxy de l'homme au milieu (PITM). Pour ce faire, vous devez injecter un en-tête HTTP personnalisé, X-GeminiCodeAssist-Allowed-Domains, dans les requêtes envoyées à Gemini Code Assist. L'en-tête spécifie une liste de domaines autorisés, et le backend Gemini Code Assist ne traite que les requêtes des utilisateurs dont le domaine authentifié correspond à l'un des domaines autorisés.

Configurer le proxy PITM

Pour configurer votre proxy PITM, procédez comme suit:

Assurez-vous que votre réseau utilise un proxy PITM capable d'intercepter et de modifier le trafic HTTPS.
Configurez le proxy pour intercepter toutes les requêtes sortantes vers les points de terminaison Gemini Code Assist.
Configurez le proxy pour qu'il injecte l'en-tête X-GeminiCodeAssist-Allowed-Domains dans chaque requête. L'en-tête doit contenir une liste de domaines autorisés séparés par une virgule (par exemple, example.com, yourcompany.net). Assurez-vous que les noms de domaine sont séparés par des virgules et qu'ils n'incluent pas le symbole @.

Si les en-têtes ne sont pas résolus dans au moins un domaine valide, les restrictions ne s'appliquent pas. Par exemple, un en-tête vide n'applique aucune restriction. domain ne s'applique à aucune restriction, car il ne s'agit pas d'un nom de domaine valide.

Interception SSL/TLS

Si votre proxy doit déchiffrer le trafic HTTPS pour injecter l'en-tête, assurez-vous qu'il est configuré pour l'interception SSL/TLS. Cela implique généralement les étapes suivantes:

Génération d'un certificat pour le proxy.
Installer le certificat du proxy sur les appareils des utilisateurs pour établir la confiance et éviter les erreurs de certificat.

Validation de l'en-tête

Gemini Code Assist valide automatiquement l'en-tête X-GeminiCodeAssist-Allowed-Domains et applique les restrictions.
Si l'en-tête ne résout pas au moins un domaine valide, la validation n'est pas effectuée.
Si le domaine de l'utilisateur ne figure pas dans la liste autorisée, la requête est rejetée.