Controlar el acceso de la red al código Gemini. Ayudar con las restricciones del dominio del usuario.
Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Este documento proporciona instrucciones para que los administradores de red configuren sus redes para restringir el acceso a Gemini Code Assist según los dominios de usuario. Esta función permite a las organizaciones controlar qué usuarios de su red pueden utilizar Gemini Code Assist, lo que mejora la seguridad y previene el acceso no autorizado.
Descripción general
Puede configurar Gemini Code Assist para aplicar restricciones de dominio de usuario mediante un proxy de intermediario (PITM). Esto implica inyectar un encabezado HTTP personalizado, X-GeminiCodeAssist-Allowed-Domains , en las solicitudes realizadas a Gemini Code Assist. El encabezado especifica una lista de dominios permitidos, y el backend de Gemini Code Assist solo procesa las solicitudes de usuarios cuyo dominio autenticado coincida con uno de los dominios permitidos.
Configurar un proxy en su IDE
Para configurar un proxy en su IDE, siga estos pasos:
Código VS
Vaya a Archivo>Configuración (para Windows) o Código>Configuración>Configuración (para macOS).
En la pestaña Usuario , navegue a Aplicación>Proxy .
En el cuadro "Proxy" , introduzca la dirección de su servidor proxy. Por ejemplo http://localhost:3128 .
Opcional: Para configurar Gemini Code Assist para que ignore los errores de certificado, en Proxy Strict SSL , marque o desmarque la casilla. Esta configuración se aplica a todos los perfiles.
IntelliJ
Vaya a Archivo>Configuración (para Windows) o IntelliJ IDEA>Configuración (para macOS).
Vaya a Apariencia y comportamiento>Configuración del sistema>Proxy HTTP .
Seleccione Configuración manual de proxy y luego seleccione HTTP .
En el campo Nombre de host , ingrese el nombre de host de su servidor proxy.
En el campo Número de puerto , ingrese el número de puerto de su servidor proxy.
Opcional: para configurar Gemini Code Assist para que ignore los errores de certificado, en la barra lateral, haga clic en Herramientas>Certificados de servidor y luego seleccione o desmarque la opción Aceptar certificados no confiables automáticamente .
Configurar el proxy PITM
Para configurar su proxy PITM, siga estos pasos:
Asegúrese de que su red utilice un proxy PITM capaz de interceptar y modificar el tráfico HTTPS.
Configure el proxy para que intercepte todas las solicitudes salientes al punto de conexión de Gemini Code Assist ( https://cloudcode-pa.googleapis.com ). No utilice comodines ( * ) al especificar el punto de conexión de Gemini Code Assist.
Configure el proxy para que inyecte el encabezado X-GeminiCodeAssist-Allowed-Domains en cada solicitud. El encabezado debe contener una lista de dominios permitidos separados por comas (p. ej., example.com , yourcompany.net ). Asegúrese de que los nombres de dominio estén separados por comas y no incluyan el símbolo @ .
Si los encabezados no se resuelven en al menos un dominio válido, no se aplicarán restricciones. Por ejemplo, un encabezado vacío no aplicará ninguna restricción. domain no aplicará ninguna restricción, ya que no es un nombre de dominio válido.
Cuando un usuario intenta acceder a Gemini Code Assist desde un dominio que no está incluido en la lista de encabezados, verá un mensaje que le indica que su administrador le ha restringido el uso de Gemini Code Assist en su dominio.
Interceptación de SSL/TLS
Si su proxy necesita descifrar el tráfico HTTPS para inyectar el encabezado, asegúrese de que esté configurado para la interceptación de SSL/TLS. Esto suele implicar:
Generando un certificado para el proxy.
Instalar el certificado del proxy en los dispositivos del usuario para establecer confianza y evitar errores de certificado.
Validación de encabezado
Gemini Code Assist valida automáticamente el encabezado X-GeminiCodeAssist-Allowed-Domains y aplica las restricciones.
Si el encabezado no se resuelve en al menos un dominio válido, no se realizará la validación.
Si el dominio del usuario no está en la lista permitida, la solicitud se rechaza.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-06-11 (UTC)."],[[["\u003cp\u003eNetwork administrators can restrict access to Gemini Code Assist by user domain, enhancing security and controlling who can use the tool.\u003c/p\u003e\n"],["\u003cp\u003eA Person-in-the-Middle (PITM) proxy is used to inject an \u003ccode\u003eX-GeminiCodeAssist-Allowed-Domains\u003c/code\u003e header into requests, specifying allowed domains.\u003c/p\u003e\n"],["\u003cp\u003eConfiguring the proxy within IDEs like VS Code and IntelliJ involves setting the proxy server address and optionally managing certificate error settings.\u003c/p\u003e\n"],["\u003cp\u003eThe PITM proxy must intercept HTTPS traffic to Gemini Code Assist endpoints, injecting the header with a comma-separated list of valid domains, such as \u003ccode\u003eexample.com\u003c/code\u003e, \u003ccode\u003eyourcompany.net\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eGemini Code Assist automatically validates the header to ensure that users are coming from an allowed domain, rejecting the request if not.\u003c/p\u003e\n"]]],[],null,["# Control Network Access to Gemini Code Assist with User Domain Restrictions\n\nThis document provides instructions for network administrators to configure\ntheir networks to restrict access to Gemini Code Assist based on\nuser domains. This feature allows organizations to control which users within\ntheir network can utilize Gemini Code Assist, enhancing security\nand preventing unauthorized access.\n\nOverview\n--------\n\nYou can configure Gemini Code Assist to enforce user domain\nrestrictions using a Person-in-the-Middle (PITM) proxy approach. This involves\ninjecting a custom HTTP header,\n`X-GeminiCodeAssist-Allowed-Domains`, into requests made to\nGemini Code Assist. The header specifies a list of allowed\ndomains, and the Gemini Code Assist backend only processes\nrequests from users whose authenticated domain matches one of the allowed\ndomains.\n\nConfigure a proxy in your IDE\n-----------------------------\n\nTo configure a proxy in your IDE, follow these steps: \n\n### VS Code\n\n1. Navigate to **File** \\\u003e **Settings** (for Windows), or **Code**\n \\\u003e **Settings** \\\u003e **Settings** (for macOS).\n\n2. In the **User** tab, navigate to **Application** \\\u003e **Proxy**.\n\n3. In the box under **Proxy** , enter the address of your proxy server. For\n example `http://localhost:3128`.\n\n4. Optional: To configure Gemini Code Assist to ignore\n certificate errors, under **Proxy Strict SSL**, select or deselect the\n checkbox. This setting applies to all profiles.\n\n### IntelliJ\n\n1. Navigate to **File** \\\u003e **Settings** (for Windows) or **IntelliJ\n IDEA** \\\u003e **Settings** (for macOS).\n\n2. Navigate to **Appearance \\& Behavior** \\\u003e **System Settings**\n \\\u003e **HTTP Proxy**.\n\n3. Select **Manual proxy configuration** , and then select **HTTP**.\n\n4. In the **Host name** field, enter the hostname of your proxy server.\n\n5. In the **Port number** field, enter the port number of your proxy server.\n\n6. Optional: To configure Gemini Code Assist to ignore\n certificate errors, in the sidebar, click **Tools** \\\u003e **Server\n Certificates** and then select or deselect **Accept non-trusted certificates\n automatically**.\n\nConfigure PITM proxy\n--------------------\n\nTo configure your PITM proxy, follow these steps:\n\n1. Make sure your network utilizes a PITM proxy capable of intercepting and\n modifying HTTPS traffic.\n\n2. Configure the proxy to intercept all outgoing requests to the\n Gemini Code Assist endpoint\n (`https://cloudcode-pa.googleapis.com`). Don't use wildcards (`*`) when you\n specify the Gemini Code Assist endpoint.\n\n3. Configure the proxy to inject the `X-GeminiCodeAssist-Allowed-Domains`\n header into each request. The header should contain a comma-separated list\n of allowed domains (e.g., `example.com`, `yourcompany.net`).\n Make sure that domain names are separated by commas and\n don't include the `@` symbol.\n\n If headers aren't resolved into at least one valid domain, restrictions\n won't apply. For example, an empty header won't apply any restrictions.\n `domain` won't apply any restrictions as it isn't a valid domain name.\n\nWhen a user tries to access Gemini Code Assist from a domain not\nincluded in the header list, they see a message telling them that they're\nrestricted from using Gemini Code Assist on their domain by their\nadministrator.\n\nSSL/TLS interception\n--------------------\n\nIf your proxy needs to decrypt HTTPS traffic to inject the header, make sure\nit's configured for SSL/TLS interception. This typically involves:\n\n- Generating a certificate for the proxy.\n\n- Installing the proxy's certificate on user devices to establish trust and\n avoid certificate errors.\n\nHeader validation\n-----------------\n\n- Gemini Code Assist automatically validates the\n `X-GeminiCodeAssist-Allowed-Domains` header and enforces the restrictions.\n\n- If the header doesn't resolve to at least one valid domain, the validation\n won't be performed.\n\n- If the domain associated with the user's authentication isn't in the allowed\n list, the request is rejected. For example if the user logs in with a gmail\n account and only example.com is on the allowed list, the request is rejected.\n\nWhat's next\n-----------\n\nTo learn more about blocking access to consumer accounts, see\n[Block access to consumer accounts](https://support.google.com/a/answer/1668854)."]]
