Contrôler l'accès réseau à Gemini Code Assist avec les restrictions de domaine utilisateur
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Ce document fournit des instructions aux administrateurs réseau pour configurer leurs réseaux afin de restreindre l'accès à Gemini Code Assist en fonction des domaines utilisateur. Cette fonctionnalité permet aux organisations de contrôler quels utilisateurs de leur réseau peuvent utiliser Gemini Code Assist, ce qui renforce la sécurité et empêche les accès non autorisés.
Présentation
Vous pouvez configurer Gemini Code Assist de façon à ce qu'il applique des restrictions de domaine utilisateur en utilisant une méthode par proxy PITM ("person in the middle"). Cela implique d'injecter un en-tête HTTP personnalisé, X-GeminiCodeAssist-Allowed-Domains, dans les requêtes adressées à Gemini Code Assist. L'en-tête spécifie une liste de domaines autorisés, et le backend Gemini Code Assist ne traite que les requêtes des utilisateurs dont le domaine authentifié correspond à l'un des domaines autorisés.
Configurer un proxy dans votre IDE
Pour configurer un proxy dans votre IDE, procédez comme suit :
VS Code
Pour Windows, accédez à File>Settings (Fichier > Paramètres). Pour macOS, accédez à Code>Settings>Settings (Code > Paramètres > Paramètres).
Dans l'onglet User (Utilisateur), accédez à Application>Proxy.
Dans le champ situé sous Proxy, saisissez l'adresse de votre serveur proxy. Par exemple, http://localhost:3128.
Facultatif : Pour configurer Gemini Code Assist de façon à ce qu'il ignore les erreurs de certificat, cochez ou décochez la case sous Proxy Strict SSL. Ce paramètre s'applique à tous les profils.
IntelliJ
Pour Windows, accédez à File>Settings (Fichier > Paramètres). Pour macOS, accédez à IntelliJ IDEA>Settings (Paramètres).
Accédez à Appearance & Behavior>System Settings>HTTP Proxy (Apparence et comportement > Paramètres système > Proxy HTTP).
Sélectionnez Manual proxy configuration (Configuration manuelle du proxy), puis HTTP.
Dans le champ Host name (Nom d'hôte), saisissez le nom d'hôte de votre serveur proxy.
Dans le champ Port number (Numéro de port), saisissez le numéro de port de votre serveur proxy.
Facultatif : Pour configurer Gemini Code Assist de façon à ce qu'il ignore les erreurs de certificat, cliquez sur Tools>Server Certificates (Outils > Certificats du serveur) dans la barre latérale, puis cochez ou décochez Accept non-trusted certificates automatically (Accepter automatiquement les certificats non approuvés).
Configurer le proxy PITM
Pour configurer votre proxy PITM, procédez comme suit :
Assurez-vous que votre réseau utilise un proxy PITM capable d'intercepter et de modifier le trafic HTTPS.
Configurez le proxy pour intercepter toutes les requêtes sortantes vers le point de terminaison Gemini Code Assist (https://cloudcode-pa.googleapis.com). N'utilisez pas de caractères génériques (*) lorsque vous spécifiez le point de terminaison Gemini Code Assist.
Configurez le proxy pour injecter l'en-tête X-GeminiCodeAssist-Allowed-Domains dans chaque requête. L'en-tête doit contenir une liste de domaines autorisés séparés par une virgule (par exemple, example.com, yourcompany.net). Assurez-vous que les noms de domaine sont séparés par des virgules et n'incluent pas le symbole @.
Si les en-têtes ne comprennent pas au moins un domaine valide, les restrictions ne s'appliqueront pas. Par exemple, un en-tête vide n'appliquera aucune restriction.
domain n'appliquera aucune restriction, car il ne s'agit pas d'un nom de domaine valide.
Lorsqu'un utilisateur tente d'accéder à Gemini Code Assist depuis un domaine ne figurant pas dans la liste d'en-tête, un message l'informe que son administrateur lui a interdit d'utiliser Gemini Code Assist sur son domaine.
Interception SSL/TLS
Si votre proxy doit déchiffrer le trafic HTTPS pour injecter l'en-tête, assurez-vous qu'il est configuré pour l'interception SSL/TLS. Cela implique généralement les étapes suivantes :
Générer un certificat pour le proxy
Installer le certificat du proxy sur les appareils des utilisateurs pour établir une relation de confiance et éviter les erreurs de certificat
Validation de l'en-tête
Gemini Code Assist valide automatiquement l'en-tête X-GeminiCodeAssist-Allowed-Domains et applique les restrictions.
Si l'en-tête ne comprend pas au moins un domaine valide, la validation ne sera pas effectuée.
Si le domaine associé à l'authentification de l'utilisateur ne figure pas dans la liste autorisée, la requête est refusée. Par exemple, si l'utilisateur se connecte avec un compte Gmail et que seul example.com figure dans la liste des domaines autorisés, la requête est refusée.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[[["\u003cp\u003eNetwork administrators can restrict access to Gemini Code Assist by user domain, enhancing security and controlling who can use the tool.\u003c/p\u003e\n"],["\u003cp\u003eA Person-in-the-Middle (PITM) proxy is used to inject an \u003ccode\u003eX-GeminiCodeAssist-Allowed-Domains\u003c/code\u003e header into requests, specifying allowed domains.\u003c/p\u003e\n"],["\u003cp\u003eConfiguring the proxy within IDEs like VS Code and IntelliJ involves setting the proxy server address and optionally managing certificate error settings.\u003c/p\u003e\n"],["\u003cp\u003eThe PITM proxy must intercept HTTPS traffic to Gemini Code Assist endpoints, injecting the header with a comma-separated list of valid domains, such as \u003ccode\u003eexample.com\u003c/code\u003e, \u003ccode\u003eyourcompany.net\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eGemini Code Assist automatically validates the header to ensure that users are coming from an allowed domain, rejecting the request if not.\u003c/p\u003e\n"]]],[],null,["# Control Network Access to Gemini Code Assist with User Domain Restrictions\n\nThis document provides instructions for network administrators to configure\ntheir networks to restrict access to Gemini Code Assist based on\nuser domains. This feature allows organizations to control which users within\ntheir network can utilize Gemini Code Assist, enhancing security\nand preventing unauthorized access.\n\nOverview\n--------\n\nYou can configure Gemini Code Assist to enforce user domain\nrestrictions using a Person-in-the-Middle (PITM) proxy approach. This involves\ninjecting a custom HTTP header,\n`X-GeminiCodeAssist-Allowed-Domains`, into requests made to\nGemini Code Assist. The header specifies a list of allowed\ndomains, and the Gemini Code Assist backend only processes\nrequests from users whose authenticated domain matches one of the allowed\ndomains.\n\nConfigure a proxy in your IDE\n-----------------------------\n\nTo configure a proxy in your IDE, follow these steps: \n\n### VS Code\n\n1. Navigate to **File** \\\u003e **Settings** (for Windows), or **Code**\n \\\u003e **Settings** \\\u003e **Settings** (for macOS).\n\n2. In the **User** tab, navigate to **Application** \\\u003e **Proxy**.\n\n3. In the box under **Proxy** , enter the address of your proxy server. For\n example `http://localhost:3128`.\n\n4. Optional: To configure Gemini Code Assist to ignore\n certificate errors, under **Proxy Strict SSL**, select or deselect the\n checkbox. This setting applies to all profiles.\n\n### IntelliJ\n\n1. Navigate to **File** \\\u003e **Settings** (for Windows) or **IntelliJ\n IDEA** \\\u003e **Settings** (for macOS).\n\n2. Navigate to **Appearance \\& Behavior** \\\u003e **System Settings**\n \\\u003e **HTTP Proxy**.\n\n3. Select **Manual proxy configuration** , and then select **HTTP**.\n\n4. In the **Host name** field, enter the hostname of your proxy server.\n\n5. In the **Port number** field, enter the port number of your proxy server.\n\n6. Optional: To configure Gemini Code Assist to ignore\n certificate errors, in the sidebar, click **Tools** \\\u003e **Server\n Certificates** and then select or deselect **Accept non-trusted certificates\n automatically**.\n\nConfigure PITM proxy\n--------------------\n\nTo configure your PITM proxy, follow these steps:\n\n1. Make sure your network utilizes a PITM proxy capable of intercepting and\n modifying HTTPS traffic.\n\n2. Configure the proxy to intercept all outgoing requests to the\n Gemini Code Assist endpoint\n (`https://cloudcode-pa.googleapis.com`). Don't use wildcards (`*`) when you\n specify the Gemini Code Assist endpoint.\n\n3. Configure the proxy to inject the `X-GeminiCodeAssist-Allowed-Domains`\n header into each request. The header should contain a comma-separated list\n of allowed domains (e.g., `example.com`, `yourcompany.net`).\n Make sure that domain names are separated by commas and\n don't include the `@` symbol.\n\n If headers aren't resolved into at least one valid domain, restrictions\n won't apply. For example, an empty header won't apply any restrictions.\n `domain` won't apply any restrictions as it isn't a valid domain name.\n\nWhen a user tries to access Gemini Code Assist from a domain not\nincluded in the header list, they see a message telling them that they're\nrestricted from using Gemini Code Assist on their domain by their\nadministrator.\n\nSSL/TLS interception\n--------------------\n\nIf your proxy needs to decrypt HTTPS traffic to inject the header, make sure\nit's configured for SSL/TLS interception. This typically involves:\n\n- Generating a certificate for the proxy.\n\n- Installing the proxy's certificate on user devices to establish trust and\n avoid certificate errors.\n\nHeader validation\n-----------------\n\n- Gemini Code Assist automatically validates the\n `X-GeminiCodeAssist-Allowed-Domains` header and enforces the restrictions.\n\n- If the header doesn't resolve to at least one valid domain, the validation\n won't be performed.\n\n- If the domain associated with the user's authentication isn't in the allowed\n list, the request is rejected. For example if the user logs in with a gmail\n account and only example.com is on the allowed list, the request is rejected.\n\nWhat's next\n-----------\n\nTo learn more about blocking access to consumer accounts, see\n[Block access to consumer accounts](https://support.google.com/a/answer/1668854)."]]
