Netzwerkzugriff auf Gemini Code Assist mit Nutzerdomainbeschränkungen steuern

Dieses Dokument enthält eine Anleitung für Netzwerkadministratoren zum Konfigurieren ihrer Netzwerke, um den Zugriff auf Gemini Code Assist basierend auf Nutzerdomains einzuschränken. Mit dieser Funktion können Organisationen steuern, welche Nutzer in ihrem Netzwerk Gemini Code Assist verwenden dürfen. So wird die Sicherheit erhöht und unbefugter Zugriff verhindert.

Übersicht

Sie können Gemini Code Assist so konfigurieren, dass Nutzerdomainbeschränkungen mithilfe eines Person-in-the-Middle-Proxys (PITM) erzwungen werden. Dazu wird ein benutzerdefinierter HTTP-Header (X-GeminiCodeAssist-Allowed-Domains) in Anfragen an Gemini Code Assist eingefügt. Der Header gibt eine Liste der zulässigen Domains an. Das Gemini Code Assist-Backend verarbeitet nur Anfragen von Nutzern, deren authentifizierte Domain mit einer der zulässigen Domains übereinstimmt.

Proxy in der IDE konfigurieren

So konfigurieren Sie einen Proxy in Ihrer IDE:

VS Code

  1. Klicken Sie unter Windows auf Datei > Einstellungen oder unter macOS auf Code > Einstellungen > Einstellungen.

  2. Rufen Sie auf dem Tab Benutzer die Option Anwendung > Proxy auf.

  3. Geben Sie im Feld unter Proxy die Adresse Ihres Proxyservers ein. Beispiel http://localhost:3128.

  4. Optional: Wenn Sie Gemini Code Assist so konfigurieren möchten, dass Zertifikatsfehler ignoriert werden, aktivieren oder deaktivieren Sie unter Proxy Strict SSL das entsprechende Kästchen. Diese Einstellung gilt für alle Profile.

IntelliJ

  1. Klicken Sie unter Windows auf Datei > Einstellungen oder unter macOS auf IntelliJ IDEA > Einstellungen.

  2. Gehen Sie zu Darstellung & Verhalten > Systemeinstellungen > HTTP-Proxy.

  3. Wählen Sie Manuelle Proxy-Konfiguration und dann HTTP aus.

  4. Geben Sie im Feld Host-Name den Hostnamen Ihres Proxyservers ein.

  5. Geben Sie im Feld Portnummer die Portnummer Ihres Proxyservers ein.

  6. Optional: Wenn Sie Gemini Code Assist so konfigurieren möchten, dass Zertifikatsfehler ignoriert werden, klicken Sie in der Seitenleiste auf Tools > Serverzertifikate und aktivieren oder deaktivieren Sie dann Nicht vertrauenswürdige Zertifikate automatisch akzeptieren.

PITM-Proxy konfigurieren

So konfigurieren Sie Ihren PITM-Proxy:

  1. Achten Sie darauf, dass in Ihrem Netzwerk ein PITM-Proxy verwendet wird, der HTTPS-Traffic abfangen und ändern kann.

  2. Konfigurieren Sie den Proxy so, dass alle ausgehenden Anfragen an den Gemini Code Assist-Endpunkt (https://cloudcode-pa.googleapis.com) abgefangen werden. Verwenden Sie keine Platzhalter (*), wenn Sie den Gemini Code Assist-Endpunkt angeben.

  3. Konfigurieren Sie den Proxy so, dass der Header X-GeminiCodeAssist-Allowed-Domains in jede Anfrage eingefügt wird. Der Header sollte eine durch Kommas getrennte Liste mit zulässigen Domains enthalten (z. B. example.com, yourcompany.net). Achten Sie darauf, dass Domainnamen durch Kommas getrennt sind und das Symbol @ nicht enthalten.

    Wenn Header nicht in mindestens eine gültige Domain aufgelöst werden, gelten keine Einschränkungen. Ein leerer Header wendet beispielsweise keine Einschränkungen an. Für domain werden keine Einschränkungen angewendet, da es sich nicht um einen gültigen Domainnamen handelt.

Wenn ein Nutzer versucht, über eine Domain, die nicht in der Header-Liste enthalten ist, auf Gemini Code Assist zuzugreifen, wird ihm eine Meldung angezeigt, dass die Nutzung von Gemini Code Assist in seiner Domain von seinem Administrator eingeschränkt wurde.

SSL/TLS abfangen

Wenn Ihr Proxy HTTPS-Traffic entschlüsseln muss, um den Header einzufügen, muss er für das Abfangen von SSL/TLS konfiguriert sein. Dazu gehören in der Regel folgende Schritte:

  • Ein Zertifikat für den Proxy generieren.

  • Das Zertifikat des Proxys auf Nutzergeräten installieren, um eine Vertrauensstellung einzurichten und Zertifikatsfehler zu vermeiden.

Header-Validierung

  • Gemini Code Assist validiert automatisch den Header X-GeminiCodeAssist-Allowed-Domains und erzwingt die Einschränkungen.

  • Wenn der Header nicht in mindestens eine gültige Domain aufgelöst wird, wird die Validierung nicht durchgeführt.

  • Wenn die mit der Authentifizierung des Nutzers verknüpfte Domain nicht auf der Zulassungsliste steht, wird die Anfrage abgelehnt. Wenn sich der Nutzer beispielsweise mit einem Gmail-Konto anmeldet und nur „example.com“ auf der Zulassungsliste steht, wird die Anfrage abgelehnt.

Weitere Informationen

Zugriff auf Privatnutzerkonten blockieren