このドキュメントでは、ユーザーのドメインに基づいて Gemini Code Assist へのアクセスを制限するようにネットワークを構成する手順について説明します。この機能により、組織はネットワーク内のどのユーザーが Gemini Code Assist を使用できるかを制御できるため、セキュリティを強化し、不正アクセスを防止できます。
概要
Gemini Code Assist でユーザー ドメインの制限を適用するには、中間者(PITM)プロキシ アプローチを使用します。これには、Gemini Code Assist に対して行われたリクエストにカスタム HTTP ヘッダー X-GeminiCodeAssist-Allowed-Domains を挿入する必要があります。このヘッダーには、許可されたドメインのリストが指定されます。Gemini Code Assist バックエンドは、認証されたドメインが許可されたドメインのいずれかに一致するユーザーからのリクエストのみを処理します。
PITM プロキシを構成する
PITM プロキシを構成する手順は次のとおりです。
ネットワークで HTTPS トラフィックをインターセプトして変更できる PITM プロキシが使用されていることを確認します。
Gemini Code Assist エンドポイントへのすべての送信リクエストをインターセプトするようにプロキシを構成します。
各リクエストに
X-GeminiCodeAssist-Allowed-Domainsヘッダーを挿入するようにプロキシを構成します。ヘッダーには、許可されたドメインのカンマ区切りリストを含める必要があります(例:example.com、yourcompany.net)。ドメイン名はカンマで区切って指定し、@記号を含めないでください。ヘッダーが 1 つ以上の有効なドメインに解決されていない場合、制限は適用されません。たとえば、空のヘッダーでは制限は適用されません。
domainは有効なドメイン名ではないため、制限は適用されません。
SSL/TLS インターセプト
プロキシで HTTPS トラフィックを復号してヘッダーを挿入する必要がある場合は、SSL/TLS インターセプション用に構成されていることを確認します。通常は以下が含まれます。
プロキシの証明書を生成します。
ユーザーのデバイスにプロキシの証明書をインストールして信頼を確立し、証明書エラーを回避する。
ヘッダーの検証
Gemini Code Assist は、
X-GeminiCodeAssist-Allowed-Domainsヘッダーを自動的に検証し、制限を適用します。ヘッダーが 1 つ以上の有効なドメインに解決されない場合、検証は実行されません。
ユーザーのドメインが許可リストにない場合、リクエストは拒否されます。