本文件提供網路管理員的操作說明,說明如何設定網路,以便根據使用者網域限制 Gemini Code Assist 的存取權。這項功能可讓機構控制網路中的哪些使用者可以使用 Gemini Code Assist,提升安全性並防止未經授權的存取行為。
總覽
您可以使用中間人 (PITM) 代理方式,設定 Gemini Code Assist 強制執行使用者網域限制。這項操作會將自訂 HTTP 標頭 X-GeminiCodeAssist-Allowed-Domains 插入對 Gemini Code Assist 提出的要求中。標頭會指定一組允許的網域,而 Gemini Code Assist 後端只會處理來自已驗證網域與其中一個允許網域相符的使用者要求。
設定 PITM Proxy
如要設定 PITM 代理程式,請按照下列步驟操作:
請確認您的網路使用 PITM Proxy,能夠攔截及修改 HTTPS 流量。
設定 Proxy,以便攔截所有傳出至 Gemini Code Assist 端點的要求。
設定 Proxy,將
X-GeminiCodeAssist-Allowed-Domains標頭插入每個要求。標頭應包含以半形逗號分隔的允許網域清單 (例如example.com、yourcompany.net)。請確認網域名稱以逗號分隔,且不含@符號。如果標頭未解析為至少一個有效網域,則不會套用限制。舉例來說,空白標頭不會套用任何限制。
domain不是有效的網域名稱,因此不會套用任何限制。
SSL/TLS 攔截
如果 Proxy 需要解密 HTTPS 流量來插入標頭,請務必將其設為 SSL/TLS 攔截。這通常包括:
為 Proxy 產生憑證。
在使用者裝置上安裝 Proxy 憑證,以建立信任關係並避免憑證錯誤。
標頭驗證
Gemini Code Assist 會自動驗證
X-GeminiCodeAssist-Allowed-Domains標頭並強制執行限制。如果標頭未解析至至少一個有效的網域,系統就不會執行驗證。
如果使用者的網域不在允許清單中,系統就會拒絕要求。