Mengontrol Akses Jaringan ke Gemini Code Assist dengan Batasan Domain Pengguna
Tetap teratur dengan koleksi
Simpan dan kategorikan konten berdasarkan preferensi Anda.
Dokumen ini memberikan petunjuk bagi administrator jaringan untuk mengonfigurasi
jaringan mereka guna membatasi akses ke Gemini Code Assist berdasarkan
domain pengguna. Fitur ini memungkinkan organisasi mengontrol pengguna mana dalam jaringan mereka yang dapat menggunakan Gemini Code Assist, sehingga meningkatkan keamanan dan mencegah akses yang tidak sah.
Ringkasan
Anda dapat mengonfigurasi Gemini Code Assist untuk menerapkan batasan domain pengguna menggunakan pendekatan proxy Man-in-the-Middle (MITM). Hal ini melibatkan
penyisipan header HTTP kustom,
X-GeminiCodeAssist-Allowed-Domains, ke dalam permintaan yang dibuat ke
Gemini Code Assist. Header menentukan daftar domain yang diizinkan, dan backend Gemini Code Assist hanya memproses permintaan dari pengguna yang domain terautentikasinya cocok dengan salah satu domain yang diizinkan.
Mengonfigurasi proxy di IDE
Untuk mengonfigurasi proxy di IDE Anda, ikuti langkah-langkah berikut:
VS Code
Buka File>Settings (untuk Windows), atau Code>Settings>Settings (untuk macOS).
Di tab Pengguna, buka Aplikasi>Proxy.
Di kotak di bagian Proxy, masukkan alamat server proxy Anda. Misalnya, http://localhost:3128.
Opsional: Untuk mengonfigurasi Gemini Code Assist agar mengabaikan
error sertifikat, di bagian Proxy Strict SSL, centang atau hapus centang
kotak. Setelan ini berlaku untuk semua profil.
IntelliJ
Buka File>Settings (untuk Windows) atau IntelliJ
IDEA>Settings (untuk macOS).
Pilih Manual proxy configuration, lalu pilih HTTP.
Di kolom Nama host, masukkan nama host server proxy Anda.
Di kolom Port number, masukkan nomor port server proxy Anda.
Opsional: Untuk mengonfigurasi Gemini Code Assist agar mengabaikan error sertifikat, di sidebar, klik Tools>Server Certificates, lalu pilih atau batalkan pilihan Accept non-trusted certificates automatically.
Mengonfigurasi proxy PITM
Untuk mengonfigurasi proxy PITM, ikuti langkah-langkah berikut:
Pastikan jaringan Anda menggunakan proxy PITM yang dapat mencegat dan mengubah traffic HTTPS.
Konfigurasi proxy untuk mencegat semua permintaan keluar ke endpoint Gemini Code Assist (https://cloudcode-pa.googleapis.com). Jangan gunakan karakter pengganti (*) saat Anda menentukan endpoint Gemini Code Assist.
Konfigurasi proxy untuk menyuntikkan header X-GeminiCodeAssist-Allowed-Domains ke dalam setiap permintaan. Header harus berisi daftar domain yang diizinkan yang dipisahkan koma (misalnya, example.com, yourcompany.net).
Pastikan nama domain dipisahkan dengan koma dan
tidak menyertakan simbol @.
Jika header tidak diselesaikan menjadi setidaknya satu domain yang valid, pembatasan tidak akan berlaku. Misalnya, header kosong tidak akan menerapkan batasan apa pun.
domain tidak akan menerapkan batasan apa pun karena bukan nama domain yang valid.
Saat pengguna mencoba mengakses Gemini Code Assist dari domain yang tidak disertakan dalam daftar header, mereka akan melihat pesan yang memberi tahu bahwa mereka dilarang menggunakan Gemini Code Assist di domain mereka oleh administrator.
Penyadapan SSL/TLS
Jika proxy Anda perlu mendekripsi traffic HTTPS untuk menyisipkan header, pastikan
proxy dikonfigurasi untuk pencegatan SSL/TLS. Hal ini biasanya melibatkan:
Membuat sertifikat untuk proxy.
Menginstal sertifikat proxy di perangkat pengguna untuk membangun kepercayaan dan menghindari error sertifikat.
Validasi header
Gemini Code Assist secara otomatis memvalidasi header
X-GeminiCodeAssist-Allowed-Domains dan menerapkan batasan.
Jika header tidak diselesaikan ke setidaknya satu domain yang valid, validasi tidak akan dilakukan.
Jika domain yang terkait dengan autentikasi pengguna tidak ada dalam daftar
yang diizinkan, permintaan akan ditolak. Misalnya, jika pengguna login dengan akun Gmail dan hanya example.com yang ada dalam daftar yang diizinkan, permintaan akan ditolak.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Sulit dipahami","hardToUnderstand","thumb-down"],["Informasi atau kode contoh salah","incorrectInformationOrSampleCode","thumb-down"],["Informasi/contoh yang saya butuhkan tidak ada","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-09-04 UTC."],[[["\u003cp\u003eNetwork administrators can restrict access to Gemini Code Assist by user domain, enhancing security and controlling who can use the tool.\u003c/p\u003e\n"],["\u003cp\u003eA Person-in-the-Middle (PITM) proxy is used to inject an \u003ccode\u003eX-GeminiCodeAssist-Allowed-Domains\u003c/code\u003e header into requests, specifying allowed domains.\u003c/p\u003e\n"],["\u003cp\u003eConfiguring the proxy within IDEs like VS Code and IntelliJ involves setting the proxy server address and optionally managing certificate error settings.\u003c/p\u003e\n"],["\u003cp\u003eThe PITM proxy must intercept HTTPS traffic to Gemini Code Assist endpoints, injecting the header with a comma-separated list of valid domains, such as \u003ccode\u003eexample.com\u003c/code\u003e, \u003ccode\u003eyourcompany.net\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eGemini Code Assist automatically validates the header to ensure that users are coming from an allowed domain, rejecting the request if not.\u003c/p\u003e\n"]]],[],null,["# Control Network Access to Gemini Code Assist with User Domain Restrictions\n\nThis document provides instructions for network administrators to configure\ntheir networks to restrict access to Gemini Code Assist based on\nuser domains. This feature allows organizations to control which users within\ntheir network can utilize Gemini Code Assist, enhancing security\nand preventing unauthorized access.\n\nOverview\n--------\n\nYou can configure Gemini Code Assist to enforce user domain\nrestrictions using a Person-in-the-Middle (PITM) proxy approach. This involves\ninjecting a custom HTTP header,\n`X-GeminiCodeAssist-Allowed-Domains`, into requests made to\nGemini Code Assist. The header specifies a list of allowed\ndomains, and the Gemini Code Assist backend only processes\nrequests from users whose authenticated domain matches one of the allowed\ndomains.\n\nConfigure a proxy in your IDE\n-----------------------------\n\nTo configure a proxy in your IDE, follow these steps: \n\n### VS Code\n\n1. Navigate to **File** \\\u003e **Settings** (for Windows), or **Code**\n \\\u003e **Settings** \\\u003e **Settings** (for macOS).\n\n2. In the **User** tab, navigate to **Application** \\\u003e **Proxy**.\n\n3. In the box under **Proxy** , enter the address of your proxy server. For\n example `http://localhost:3128`.\n\n4. Optional: To configure Gemini Code Assist to ignore\n certificate errors, under **Proxy Strict SSL**, select or deselect the\n checkbox. This setting applies to all profiles.\n\n### IntelliJ\n\n1. Navigate to **File** \\\u003e **Settings** (for Windows) or **IntelliJ\n IDEA** \\\u003e **Settings** (for macOS).\n\n2. Navigate to **Appearance \\& Behavior** \\\u003e **System Settings**\n \\\u003e **HTTP Proxy**.\n\n3. Select **Manual proxy configuration** , and then select **HTTP**.\n\n4. In the **Host name** field, enter the hostname of your proxy server.\n\n5. In the **Port number** field, enter the port number of your proxy server.\n\n6. Optional: To configure Gemini Code Assist to ignore\n certificate errors, in the sidebar, click **Tools** \\\u003e **Server\n Certificates** and then select or deselect **Accept non-trusted certificates\n automatically**.\n\nConfigure PITM proxy\n--------------------\n\nTo configure your PITM proxy, follow these steps:\n\n1. Make sure your network utilizes a PITM proxy capable of intercepting and\n modifying HTTPS traffic.\n\n2. Configure the proxy to intercept all outgoing requests to the\n Gemini Code Assist endpoint\n (`https://cloudcode-pa.googleapis.com`). Don't use wildcards (`*`) when you\n specify the Gemini Code Assist endpoint.\n\n3. Configure the proxy to inject the `X-GeminiCodeAssist-Allowed-Domains`\n header into each request. The header should contain a comma-separated list\n of allowed domains (e.g., `example.com`, `yourcompany.net`).\n Make sure that domain names are separated by commas and\n don't include the `@` symbol.\n\n If headers aren't resolved into at least one valid domain, restrictions\n won't apply. For example, an empty header won't apply any restrictions.\n `domain` won't apply any restrictions as it isn't a valid domain name.\n\nWhen a user tries to access Gemini Code Assist from a domain not\nincluded in the header list, they see a message telling them that they're\nrestricted from using Gemini Code Assist on their domain by their\nadministrator.\n\nSSL/TLS interception\n--------------------\n\nIf your proxy needs to decrypt HTTPS traffic to inject the header, make sure\nit's configured for SSL/TLS interception. This typically involves:\n\n- Generating a certificate for the proxy.\n\n- Installing the proxy's certificate on user devices to establish trust and\n avoid certificate errors.\n\nHeader validation\n-----------------\n\n- Gemini Code Assist automatically validates the\n `X-GeminiCodeAssist-Allowed-Domains` header and enforces the restrictions.\n\n- If the header doesn't resolve to at least one valid domain, the validation\n won't be performed.\n\n- If the domain associated with the user's authentication isn't in the allowed\n list, the request is rejected. For example if the user logs in with a gmail\n account and only example.com is on the allowed list, the request is rejected.\n\nWhat's next\n-----------\n\nTo learn more about blocking access to consumer accounts, see\n[Block access to consumer accounts](https://support.google.com/a/answer/1668854)."]]
