Controlar o acesso à rede ao Gemini Code Assist com restrições de domínio do usuário

Este documento fornece instruções para administradores de rede configurarem as redes deles para restringir o acesso ao Gemini Code Assist com base em domínios de usuários. Com esse recurso, as organizações controlam quais usuários da rede podem usar o Gemini Code Assist, aumentando a segurança e evitando o acesso não autorizado.

Visão geral

É possível configurar o Gemini Code Assist para aplicar restrições de domínio do usuário usando uma abordagem de proxy de pessoa no meio (PITM, na sigla em inglês). Isso envolve injetar um cabeçalho HTTP personalizado, X-GeminiCodeAssist-Allowed-Domains, em solicitações feitas para o Gemini Code Assist. O cabeçalho especifica uma lista de domínios permitidos, e o back-end do Gemini Code Assist só processa solicitações de usuários cujo domínio autenticado corresponde a um dos domínios permitidos.

Configurar um proxy no ambiente de desenvolvimento integrado

Para configurar um proxy no seu ambiente de desenvolvimento integrado, siga estas etapas:

VS Code

  1. Acesse Arquivo > Configurações (no Windows) ou Código > Configurações > Configurações (no macOS).

  2. Na guia Usuário, navegue até Aplicativo > Proxy.

  3. Na caixa em Proxy, insira o endereço do seu servidor proxy. Por exemplo http://localhost:3128.

  4. Opcional: para configurar o Gemini Code Assist para ignorar erros de certificado, em Proxy Strict SSL, marque ou desmarque a caixa de seleção. Essa configuração se aplica a todos os perfis.

IntelliJ

  1. Acesse Arquivo > Configurações (para Windows) ou IntelliJ IDEA > Configurações (para macOS).

  2. Navegue até Appearance & Behavior > System Settings > HTTP Proxy.

  3. Selecione Configuração manual de proxy e depois HTTP.

  4. No campo Nome do host, insira o nome do host do servidor proxy.

  5. No campo Número da porta, insira o número da porta do servidor proxy.

  6. Opcional: para configurar o Gemini Code Assist para ignorar erros de certificado, na barra lateral, clique em Ferramentas > Certificados do servidor e selecione ou desmarque Aceitar certificados não confiáveis automaticamente.

Configurar proxy PITM

Para configurar seu proxy PITM, siga estas etapas:

  1. Verifique se a rede usa um proxy PITM capaz de interceptar e modificar o tráfego HTTPS.

  2. Configure o proxy para interceptar todas as solicitações de saída para o endpoint do Gemini Code Assist (https://cloudcode-pa.googleapis.com). Não use caracteres curinga (*) ao especificar o endpoint do Gemini Code Assist.

  3. Configure o proxy para injetar o cabeçalho X-GeminiCodeAssist-Allowed-Domains em cada solicitação. O cabeçalho deve conter uma lista separada por vírgulas de domínios permitidos (por exemplo, example.com, yourcompany.net). Verifique se os nomes de domínio estão separados por vírgulas e não incluem o símbolo @.

    Se os cabeçalhos não forem resolvidos em pelo menos um domínio válido, as restrições não serão aplicadas. Por exemplo, um cabeçalho vazio não aplica restrições. domain não vai aplicar restrições porque não é um nome de domínio válido.

Quando um usuário tenta acessar o Gemini Code Assist em um domínio que não está incluído na lista de cabeçalho, ele recebe uma mensagem informando que o administrador restringiu o uso do Gemini Code Assist no domínio.

Interceptação de SSL/TLS

Se o proxy precisar descriptografar o tráfego HTTPS para injetar o cabeçalho, verifique se ele está configurado para interceptação SSL/TLS. Isso geralmente envolve:

  • Gerando um certificado para o proxy.

  • Instalar o certificado do proxy nos dispositivos dos usuários para estabelecer confiança e evitar erros de certificado.

Validação de cabeçalho

  • O Gemini Code Assist valida automaticamente o cabeçalho X-GeminiCodeAssist-Allowed-Domains e aplica as restrições.

  • Se o cabeçalho não resolver pelo menos um domínio válido, a validação não será realizada.

  • Se o domínio associado à autenticação do usuário não estiver na lista permitida, a solicitação será rejeitada. Por exemplo, se o usuário fizer login com uma conta do Gmail e apenas example.com estiver na lista permitida, a solicitação será rejeitada.

A seguir

Para saber mais sobre como bloquear o acesso a contas pessoais, consulte Bloquear o acesso a contas pessoais.