本文件提供網路管理員的操作說明,說明如何設定網路,以便根據使用者網域限制 Gemini Code Assist 的存取權。這項功能可讓機構控管網路中的哪些使用者可以使用 Gemini Code Assist,提升安全性並防止未經授權的存取行為。
總覽
您可以設定 Gemini Code Assist,使用中間人 (PITM) 代理方式強制執行使用者網域限制。這項操作包括將自訂 HTTP 標頭 X-GeminiCodeAssist-Allowed-Domains 插入對 Gemini Code Assist 提出的要求中。標頭會指定允許的網域清單,而 Gemini Code Assist 後端只會處理來自已驗證網域與其中一個允許網域相符的使用者要求。
在 IDE 中設定 Proxy
如要在 IDE 中設定 Proxy,請按照下列步驟操作:
VS Code
依序前往「File」 >「Settings」 (Windows 版),或「Code」>「Settings」 >「Settings」 (macOS 版)。
在「使用者」分頁中,依序前往「應用程式」 >「Proxy」。
在「Proxy」下方的方塊中,輸入 Proxy 伺服器的地址。例如
http://localhost:3128。選用:如要設定 Gemini Code Assist 忽略憑證錯誤,請在「Proxy Strict SSL」下方選取或取消選取核取方塊。這項設定適用於所有設定檔。
IntelliJ
依序前往「File」 >「Settings」 (適用於 Windows),或是「IntelliJ IDEA」 >「Settings」 (適用於 macOS)。
依序前往「Appearance & Behavior」 >「System Settings」>「HTTP Proxy」。
依序選取「手動 Proxy 設定」和「HTTP」。
在「主機名稱」欄位中輸入 Proxy 伺服器的主機名稱。
在「Port number」欄位中,輸入 Proxy 伺服器的通訊埠號碼。
選用:如要設定 Gemini Code Assist 自動略過憑證錯誤,請在側欄中依序按一下「Tools」 >「Server Certificates」,然後選取或取消選取「Accept non-trusted certificates」。
設定 PITM Proxy
如要設定 PITM 代理程式,請按照下列步驟操作:
請確認您的網路使用 PITM Proxy,能夠攔截及修改 HTTPS 流量。
設定 Proxy,以便攔截所有傳出至 Gemini Code Assist 端點 (
https://cloudcode-pa.googleapis.com) 的要求。指定 Gemini Code Assist 端點時,請勿使用萬用字元 (*)。設定 Proxy,將
X-GeminiCodeAssist-Allowed-Domains標頭插入每個要求。標頭應包含以半形逗號分隔的許可網域清單 (例如:example.com、yourcompany.net)。請確認網域名稱以半形逗號分隔,且不含@符號。如果標頭未解析為至少一個有效網域,則不會套用限制。舉例來說,空白標頭不會套用任何限制。
domain不是有效的網域名稱,因此不會套用任何限制。
如果使用者嘗試從標頭清單中未列出的網域存取 Gemini Code Assist,系統會顯示訊息,說明管理員已禁止使用者在該網域上使用 Gemini Code Assist。
SSL/TLS 攔截
如果 Proxy 需要解密 HTTPS 流量來插入標頭,請務必將其設為 SSL/TLS 攔截。這通常包括:
為 Proxy 產生憑證。
在使用者裝置上安裝 Proxy 憑證,以建立信任關係並避免憑證錯誤。
標頭驗證
Gemini Code Assist 會自動驗證
X-GeminiCodeAssist-Allowed-Domains標頭,並強制執行限制。如果標頭未解析至至少一個有效的網域,系統就不會執行驗證。
如果使用者的網域不在允許清單中,系統就會拒絕要求。
後續步驟
如要進一步瞭解如何封鎖個人帳戶的存取權,請參閱「封鎖個人帳戶的存取權」。