Controllare l'accesso alla rete a Gemini Code Assist con le restrizioni del dominio utente
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questo documento fornisce istruzioni agli amministratori di rete per configurare
le loro reti in modo da limitare l'accesso a Gemini Code Assist in base
ai domini utente. Questa funzionalità consente alle organizzazioni di controllare quali utenti all'interno
della propria rete possono utilizzare Gemini Code Assist, migliorando la sicurezza
e impedendo l'accesso non autorizzato.
Panoramica
Puoi configurare Gemini Code Assist per applicare le limitazioni del dominio utente utilizzando un approccio proxy Person-in-the-Middle (PITM). Ciò comporta l'inserimento di un'intestazione HTTP personalizzata, X-GeminiCodeAssist-Allowed-Domains, nelle richieste effettuate a Gemini Code Assist. L'intestazione specifica un elenco di domini consentiti e il backend di Gemini Code Assist elabora solo le richieste degli utenti il cui dominio autenticato corrisponde a uno dei domini consentiti.
Configurare un proxy nell'IDE
Per configurare un proxy nel tuo IDE:
VS Code
Vai a File>Impostazioni (per Windows) o Codice>Impostazioni>Impostazioni (per macOS).
Nella scheda Utente, vai a Applicazione>Proxy.
Nella casella sotto Proxy, inserisci l'indirizzo del server proxy. Ad
esempio http://localhost:3128.
(Facoltativo) Per configurare Gemini Code Assist in modo che ignori
gli errori del certificato, seleziona o deseleziona la
casella di controllo in Proxy Strict SSL. Questa impostazione si applica a tutti i profili.
IntelliJ
Vai a File>Impostazioni (per Windows) o IntelliJ
IDEA>Impostazioni (per macOS).
Vai a Aspetto e comportamento>Impostazioni di sistema>Proxy HTTP.
Seleziona Configurazione proxy manuale, quindi seleziona HTTP.
Nel campo Nome host, inserisci il nome host del server proxy.
Nel campo Numero di porta, inserisci il numero di porta del server proxy.
(Facoltativo) Per configurare Gemini Code Assist in modo che ignori
gli errori dei certificati, nella barra laterale fai clic su Strumenti>Certificati
server e poi seleziona o deseleziona Accetta automaticamente i certificati
non attendibili.
Configura il proxy PITM
Per configurare il proxy PITM, segui questi passaggi:
Assicurati che la tua rete utilizzi un proxy PITM in grado di intercettare e
modificare il traffico HTTPS.
Configura il proxy in modo che intercetti tutte le richieste in uscita all'endpoint
Gemini Code Assist
(https://cloudcode-pa.googleapis.com). Non utilizzare caratteri jolly (*) quando
specifichi l'endpoint Gemini Code Assist.
Configura il proxy per inserire l'intestazione X-GeminiCodeAssist-Allowed-Domains in ogni richiesta. L'intestazione deve contenere un elenco separato da virgole
di domini consentiti (ad es. example.com, yourcompany.net).
Assicurati che i nomi di dominio siano separati da virgole e
non includano il simbolo @.
Se le intestazioni non vengono risolte in almeno un dominio valido, le limitazioni
non verranno applicate. Ad esempio, un'intestazione vuota non applicherà alcuna restrizione.
domain non applicherà alcuna limitazione perché non è un nome di dominio valido.
Quando un utente tenta di accedere a Gemini Code Assist da un dominio non
incluso nell'elenco delle intestazioni, visualizza un messaggio che lo informa che
l'utilizzo di Gemini Code Assist sul suo dominio è limitato dal suo
amministratore.
Intercettazione SSL/TLS
Se il proxy deve decrittografare il traffico HTTPS per inserire l'intestazione, assicurati che sia configurato per l'intercettazione SSL/TLS. In genere, ciò comporta:
Generazione di un certificato per il proxy.
Installazione del certificato del proxy sui dispositivi degli utenti per stabilire l'attendibilità ed
evitare errori del certificato.
Convalida dell'intestazione
Gemini Code Assist convalida automaticamente l'intestazione
X-GeminiCodeAssist-Allowed-Domains e applica le limitazioni.
Se l'intestazione non viene risolta in almeno un dominio valido, la convalida
non verrà eseguita.
Se il dominio associato all'autenticazione dell'utente non è presente nell'elenco consentito, la richiesta viene rifiutata. Ad esempio, se l'utente accede con un account Gmail e solo example.com è presente nell'elenco consentito, la richiesta viene rifiutata.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[[["\u003cp\u003eNetwork administrators can restrict access to Gemini Code Assist by user domain, enhancing security and controlling who can use the tool.\u003c/p\u003e\n"],["\u003cp\u003eA Person-in-the-Middle (PITM) proxy is used to inject an \u003ccode\u003eX-GeminiCodeAssist-Allowed-Domains\u003c/code\u003e header into requests, specifying allowed domains.\u003c/p\u003e\n"],["\u003cp\u003eConfiguring the proxy within IDEs like VS Code and IntelliJ involves setting the proxy server address and optionally managing certificate error settings.\u003c/p\u003e\n"],["\u003cp\u003eThe PITM proxy must intercept HTTPS traffic to Gemini Code Assist endpoints, injecting the header with a comma-separated list of valid domains, such as \u003ccode\u003eexample.com\u003c/code\u003e, \u003ccode\u003eyourcompany.net\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eGemini Code Assist automatically validates the header to ensure that users are coming from an allowed domain, rejecting the request if not.\u003c/p\u003e\n"]]],[],null,["# Control Network Access to Gemini Code Assist with User Domain Restrictions\n\nThis document provides instructions for network administrators to configure\ntheir networks to restrict access to Gemini Code Assist based on\nuser domains. This feature allows organizations to control which users within\ntheir network can utilize Gemini Code Assist, enhancing security\nand preventing unauthorized access.\n\nOverview\n--------\n\nYou can configure Gemini Code Assist to enforce user domain\nrestrictions using a Person-in-the-Middle (PITM) proxy approach. This involves\ninjecting a custom HTTP header,\n`X-GeminiCodeAssist-Allowed-Domains`, into requests made to\nGemini Code Assist. The header specifies a list of allowed\ndomains, and the Gemini Code Assist backend only processes\nrequests from users whose authenticated domain matches one of the allowed\ndomains.\n\nConfigure a proxy in your IDE\n-----------------------------\n\nTo configure a proxy in your IDE, follow these steps: \n\n### VS Code\n\n1. Navigate to **File** \\\u003e **Settings** (for Windows), or **Code**\n \\\u003e **Settings** \\\u003e **Settings** (for macOS).\n\n2. In the **User** tab, navigate to **Application** \\\u003e **Proxy**.\n\n3. In the box under **Proxy** , enter the address of your proxy server. For\n example `http://localhost:3128`.\n\n4. Optional: To configure Gemini Code Assist to ignore\n certificate errors, under **Proxy Strict SSL**, select or deselect the\n checkbox. This setting applies to all profiles.\n\n### IntelliJ\n\n1. Navigate to **File** \\\u003e **Settings** (for Windows) or **IntelliJ\n IDEA** \\\u003e **Settings** (for macOS).\n\n2. Navigate to **Appearance \\& Behavior** \\\u003e **System Settings**\n \\\u003e **HTTP Proxy**.\n\n3. Select **Manual proxy configuration** , and then select **HTTP**.\n\n4. In the **Host name** field, enter the hostname of your proxy server.\n\n5. In the **Port number** field, enter the port number of your proxy server.\n\n6. Optional: To configure Gemini Code Assist to ignore\n certificate errors, in the sidebar, click **Tools** \\\u003e **Server\n Certificates** and then select or deselect **Accept non-trusted certificates\n automatically**.\n\nConfigure PITM proxy\n--------------------\n\nTo configure your PITM proxy, follow these steps:\n\n1. Make sure your network utilizes a PITM proxy capable of intercepting and\n modifying HTTPS traffic.\n\n2. Configure the proxy to intercept all outgoing requests to the\n Gemini Code Assist endpoint\n (`https://cloudcode-pa.googleapis.com`). Don't use wildcards (`*`) when you\n specify the Gemini Code Assist endpoint.\n\n3. Configure the proxy to inject the `X-GeminiCodeAssist-Allowed-Domains`\n header into each request. The header should contain a comma-separated list\n of allowed domains (e.g., `example.com`, `yourcompany.net`).\n Make sure that domain names are separated by commas and\n don't include the `@` symbol.\n\n If headers aren't resolved into at least one valid domain, restrictions\n won't apply. For example, an empty header won't apply any restrictions.\n `domain` won't apply any restrictions as it isn't a valid domain name.\n\nWhen a user tries to access Gemini Code Assist from a domain not\nincluded in the header list, they see a message telling them that they're\nrestricted from using Gemini Code Assist on their domain by their\nadministrator.\n\nSSL/TLS interception\n--------------------\n\nIf your proxy needs to decrypt HTTPS traffic to inject the header, make sure\nit's configured for SSL/TLS interception. This typically involves:\n\n- Generating a certificate for the proxy.\n\n- Installing the proxy's certificate on user devices to establish trust and\n avoid certificate errors.\n\nHeader validation\n-----------------\n\n- Gemini Code Assist automatically validates the\n `X-GeminiCodeAssist-Allowed-Domains` header and enforces the restrictions.\n\n- If the header doesn't resolve to at least one valid domain, the validation\n won't be performed.\n\n- If the domain associated with the user's authentication isn't in the allowed\n list, the request is rejected. For example if the user logs in with a gmail\n account and only example.com is on the allowed list, the request is rejected.\n\nWhat's next\n-----------\n\nTo learn more about blocking access to consumer accounts, see\n[Block access to consumer accounts](https://support.google.com/a/answer/1668854)."]]
