В этом документе содержатся инструкции для сетевых администраторов по настройке сетей для ограничения доступа к Gemini Code Assist на основе доменов пользователей. Эта функция позволяет организациям контролировать, какие пользователи в их сети могут использовать Gemini Code Assist, повышая безопасность и предотвращая несанкционированный доступ.
Обзор
Вы можете настроить Gemini Code Assist для применения ограничений домена пользователя с помощью прокси-подхода «Человек посередине» (PITM). Это подразумевает внедрение специального HTTP-заголовка X-GeminiCodeAssist-Allowed-Domains в запросы к Gemini Code Assist. Заголовок определяет список разрешённых доменов, и бэкенд Gemini Code Assist обрабатывает запросы только от пользователей, чей аутентифицированный домен совпадает с одним из разрешённых.
Настройте прокси в вашей IDE
Чтобы настроить прокси в вашей IDE, выполните следующие действия:
VS Код
Перейдите в Файл > Настройки (для Windows) или Код > Настройки > Настройки (для macOS).
На вкладке Пользователь перейдите в Приложение > Прокси .
В поле «Прокси» введите адрес вашего прокси-сервера. Например
http://localhost:3128.Необязательно: чтобы настроить Gemini Code Assist на игнорирование ошибок сертификатов, установите или снимите флажок в разделе Proxy Strict SSL . Этот параметр применяется ко всем профилям.
IntelliJ
Перейдите в Файл > Настройки (для Windows) или IntelliJ IDEA > Настройки (для macOS).
Перейдите в раздел Внешний вид и поведение > Параметры системы > HTTP-прокси .
Выберите Ручная настройка прокси-сервера , а затем выберите HTTP .
В поле Имя хоста введите имя хоста вашего прокси-сервера.
В поле Номер порта введите номер порта вашего прокси-сервера.
Необязательно: чтобы настроить Gemini Code Assist на игнорирование ошибок сертификатов, на боковой панели нажмите «Инструменты» > «Сертификаты сервера» , а затем установите или снимите флажок «Принимать ненадежные сертификаты автоматически» .
Настроить прокси-сервер PITM
Чтобы настроить прокси-сервер PITM, выполните следующие действия:
Убедитесь, что в вашей сети используется прокси-сервер PITM, способный перехватывать и изменять трафик HTTPS.
Настройте прокси-сервер для перехвата всех исходящих запросов к конечной точке Gemini Code Assist (
https://cloudcode-pa.googleapis.com). Не используйте подстановочные знаки (*) при указании конечной точки Gemini Code Assist.Настройте прокси-сервер для добавления заголовка
X-GeminiCodeAssist-Allowed-Domainsв каждый запрос. Заголовок должен содержать список разрешённых доменов, разделённых запятыми (например,example.com,yourcompany.net). Убедитесь, что доменные имена разделены запятыми и не содержат символ@.Если заголовки не преобразованы хотя бы в один допустимый домен, ограничения не применяются. Например, пустой заголовок не применяет никаких ограничений.
domainне будет применять никаких ограничений, поскольку он не является допустимым доменным именем.
Когда пользователь пытается получить доступ к Gemini Code Assist с домена, не включенного в список заголовков, он видит сообщение о том, что администратор запретил ему использовать Gemini Code Assist на его домене.
Перехват SSL/TLS
Если вашему прокси-серверу необходимо расшифровывать HTTPS-трафик для внедрения заголовка, убедитесь, что он настроен на перехват SSL/TLS. Обычно это включает в себя:
Генерация сертификата для прокси.
Установка сертификата прокси-сервера на пользовательские устройства для установления доверия и избежания ошибок сертификатов.
Проверка заголовка
Gemini Code Assist автоматически проверяет заголовок
X-GeminiCodeAssist-Allowed-Domainsи применяет ограничения.Если заголовок не соответствует хотя бы одному допустимому домену, проверка не будет выполнена.
Если домен, связанный с аутентификацией пользователя, отсутствует в списке разрешённых, запрос отклоняется. Например, если пользователь входит в систему через учётную запись Gmail, а в списке разрешённых доменов есть только example.com, запрос отклоняется.
Что дальше?
Дополнительную информацию о блокировке доступа к учетным записям потребителей см. в разделе Блокировка доступа к учетным записям потребителей .