Controla el acceso a la red de Gemini Code Assist con restricciones de dominio del usuario
Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En este documento, se proporcionan instrucciones para que los administradores de red configuren
sus redes de modo que restrinjan el acceso a Gemini Code Assist según
los dominios de los usuarios. Esta función permite a las organizaciones controlar qué usuarios de
su red pueden usar Gemini Code Assist, lo que mejora la seguridad
y evita el acceso no autorizado.
Descripción general
Puedes configurar Gemini Code Assist para aplicar restricciones de dominio
de usuarios con un enfoque de proxy de intermediarios (PITM). Esto implica
insertar un encabezado HTTP personalizado,
X-GeminiCodeAssist-Allowed-Domains, en las solicitudes que se realizaron a
Gemini Code Assist. El encabezado especifica una lista de dominios
permitidos, y el backend de Gemini Code Assist solo procesa
las solicitudes de los usuarios cuyo dominio autenticado coincide con uno de los dominios
permitidos.
Configura un proxy en tu IDE
Para configurar un proxy en tu IDE, lleva a cabo los siguientes pasos:
VS Code
Navega a Archivo>Configuración (para Windows) o Código>Configuración>Configuración (para macOS).
En la pestaña Usuario, navega a Aplicación>Proxy.
En el cuadro que se encuentra debajo de Proxy, escribe la dirección de tu servidor proxy. Por
ejemplo, http://localhost:3128.
Opcional: para configurar Gemini Code Assist de modo que ignore
los errores de certificado, en Proxy Strict SSL, selecciona o anula la selección de la
casilla de verificación. Estos parámetros de configuración se aplican a todos los perfiles.
IntelliJ
Navega a Archivo>Configuración (para Windows) o IntelliJ
IDEA>Configuración (para macOS).
Navega a Comportamiento y aspecto>Configuración del sistema>Proxy HTTP.
Selecciona Configuración manual de proxy y, luego, HTTP.
En el campo Nombre de host, escribe el nombre de host de tu servidor proxy.
En el campo Número de puerto, escribe el número de puerto de tu servidor proxy.
Opcional: para configurar Gemini Code Assist de modo que ignore
los errores de certificado, en la barra lateral, haz clic en Herramientas>Certificados
de servidor y, luego, selecciona o anula la selección de Aceptar automáticamente
los certificados no confiables.
Configura el proxy de PITM
Para configurar tu proxy de PITM, lleva a cabo los siguientes pasos:
Asegúrate de que tu red utilice un proxy de PITM capaz de interceptar y
modificar el tráfico HTTPS.
Configura el proxy para interceptar todas las solicitudes salientes al
extremo de Gemini Code Assist
(https://cloudcode-pa.googleapis.com). No uses comodines (*) cuando especifiques
el extremo de Gemini Code Assist.
Configura el proxy para que inserte el encabezado X-GeminiCodeAssist-Allowed-Domains
en cada solicitud. El encabezado debe contener una lista de dominios permitidos separada por comas (p. ej., example.com, yourcompany.net).
Asegúrate de que los nombres de dominio estén separados por comas y
de que no incluyan el símbolo @.
Si los encabezados no se resuelven en al menos un dominio válido, no
se aplicarán restricciones. Por ejemplo, un encabezado vacío no aplicará ninguna restricción.
domain no aplicará ninguna restricción, ya que no es un nombre de dominio válido.
Cuando un usuario intenta acceder a Gemini Code Assist desde un dominio que no
se incluye en la lista de encabezados, el usuario ve un mensaje que le indica que su
administrador le restringió el uso de Gemini Code Assist
en su dominio.
Interceptación de SSL/TLS
Si tu proxy necesita desencriptar el tráfico HTTPS para insertar el encabezado, asegúrate de que
esté configurado para la interceptación de SSL/TLS. Por lo general, esto implica lo siguiente:
Generar un certificado para el proxy
Instalar el certificado del proxy en los dispositivos de los usuarios para establecer confianza y
evitar errores de certificado
Validación de encabezados
Gemini Code Assist valida automáticamente el
encabezado X-GeminiCodeAssist-Allowed-Domains y aplica las restricciones.
Si el encabezado no se resuelve en, al menos, un dominio válido, no se realizará
la validación.
Si el dominio del usuario no está en la lista de dominios permitidos, se rechaza la solicitud.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-04 (UTC)"],[[["\u003cp\u003eNetwork administrators can restrict access to Gemini Code Assist by user domain, enhancing security and controlling who can use the tool.\u003c/p\u003e\n"],["\u003cp\u003eA Person-in-the-Middle (PITM) proxy is used to inject an \u003ccode\u003eX-GeminiCodeAssist-Allowed-Domains\u003c/code\u003e header into requests, specifying allowed domains.\u003c/p\u003e\n"],["\u003cp\u003eConfiguring the proxy within IDEs like VS Code and IntelliJ involves setting the proxy server address and optionally managing certificate error settings.\u003c/p\u003e\n"],["\u003cp\u003eThe PITM proxy must intercept HTTPS traffic to Gemini Code Assist endpoints, injecting the header with a comma-separated list of valid domains, such as \u003ccode\u003eexample.com\u003c/code\u003e, \u003ccode\u003eyourcompany.net\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eGemini Code Assist automatically validates the header to ensure that users are coming from an allowed domain, rejecting the request if not.\u003c/p\u003e\n"]]],[],null,["# Control Network Access to Gemini Code Assist with User Domain Restrictions\n\nThis document provides instructions for network administrators to configure\ntheir networks to restrict access to Gemini Code Assist based on\nuser domains. This feature allows organizations to control which users within\ntheir network can utilize Gemini Code Assist, enhancing security\nand preventing unauthorized access.\n\nOverview\n--------\n\nYou can configure Gemini Code Assist to enforce user domain\nrestrictions using a Person-in-the-Middle (PITM) proxy approach. This involves\ninjecting a custom HTTP header,\n`X-GeminiCodeAssist-Allowed-Domains`, into requests made to\nGemini Code Assist. The header specifies a list of allowed\ndomains, and the Gemini Code Assist backend only processes\nrequests from users whose authenticated domain matches one of the allowed\ndomains.\n\nConfigure a proxy in your IDE\n-----------------------------\n\nTo configure a proxy in your IDE, follow these steps: \n\n### VS Code\n\n1. Navigate to **File** \\\u003e **Settings** (for Windows), or **Code**\n \\\u003e **Settings** \\\u003e **Settings** (for macOS).\n\n2. In the **User** tab, navigate to **Application** \\\u003e **Proxy**.\n\n3. In the box under **Proxy** , enter the address of your proxy server. For\n example `http://localhost:3128`.\n\n4. Optional: To configure Gemini Code Assist to ignore\n certificate errors, under **Proxy Strict SSL**, select or deselect the\n checkbox. This setting applies to all profiles.\n\n### IntelliJ\n\n1. Navigate to **File** \\\u003e **Settings** (for Windows) or **IntelliJ\n IDEA** \\\u003e **Settings** (for macOS).\n\n2. Navigate to **Appearance \\& Behavior** \\\u003e **System Settings**\n \\\u003e **HTTP Proxy**.\n\n3. Select **Manual proxy configuration** , and then select **HTTP**.\n\n4. In the **Host name** field, enter the hostname of your proxy server.\n\n5. In the **Port number** field, enter the port number of your proxy server.\n\n6. Optional: To configure Gemini Code Assist to ignore\n certificate errors, in the sidebar, click **Tools** \\\u003e **Server\n Certificates** and then select or deselect **Accept non-trusted certificates\n automatically**.\n\nConfigure PITM proxy\n--------------------\n\nTo configure your PITM proxy, follow these steps:\n\n1. Make sure your network utilizes a PITM proxy capable of intercepting and\n modifying HTTPS traffic.\n\n2. Configure the proxy to intercept all outgoing requests to the\n Gemini Code Assist endpoint\n (`https://cloudcode-pa.googleapis.com`). Don't use wildcards (`*`) when you\n specify the Gemini Code Assist endpoint.\n\n3. Configure the proxy to inject the `X-GeminiCodeAssist-Allowed-Domains`\n header into each request. The header should contain a comma-separated list\n of allowed domains (e.g., `example.com`, `yourcompany.net`).\n Make sure that domain names are separated by commas and\n don't include the `@` symbol.\n\n If headers aren't resolved into at least one valid domain, restrictions\n won't apply. For example, an empty header won't apply any restrictions.\n `domain` won't apply any restrictions as it isn't a valid domain name.\n\nWhen a user tries to access Gemini Code Assist from a domain not\nincluded in the header list, they see a message telling them that they're\nrestricted from using Gemini Code Assist on their domain by their\nadministrator.\n\nSSL/TLS interception\n--------------------\n\nIf your proxy needs to decrypt HTTPS traffic to inject the header, make sure\nit's configured for SSL/TLS interception. This typically involves:\n\n- Generating a certificate for the proxy.\n\n- Installing the proxy's certificate on user devices to establish trust and\n avoid certificate errors.\n\nHeader validation\n-----------------\n\n- Gemini Code Assist automatically validates the\n `X-GeminiCodeAssist-Allowed-Domains` header and enforces the restrictions.\n\n- If the header doesn't resolve to at least one valid domain, the validation\n won't be performed.\n\n- If the domain associated with the user's authentication isn't in the allowed\n list, the request is rejected. For example if the user logs in with a gmail\n account and only example.com is on the allowed list, the request is rejected.\n\nWhat's next\n-----------\n\nTo learn more about blocking access to consumer accounts, see\n[Block access to consumer accounts](https://support.google.com/a/answer/1668854)."]]
