Controlar o acesso à rede ao Gemini Code Assist com restrições de domínio do usuário
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Este documento fornece instruções para administradores de rede configurarem
as redes deles para restringir o acesso ao Gemini Code Assist com base em
domínios de usuários. Com esse recurso, as organizações controlam quais usuários da rede podem usar o Gemini Code Assist, aumentando a segurança e evitando o acesso não autorizado.
Visão geral
É possível configurar o Gemini Code Assist para aplicar restrições de domínio do usuário usando uma abordagem de proxy de pessoa no meio (PITM, na sigla em inglês). Isso envolve
injetar um cabeçalho HTTP personalizado,
X-GeminiCodeAssist-Allowed-Domains, em solicitações feitas para
o Gemini Code Assist. O cabeçalho especifica uma lista de domínios permitidos, e o back-end do Gemini Code Assist só processa solicitações de usuários cujo domínio autenticado corresponde a um dos domínios permitidos.
Configurar um proxy no ambiente de desenvolvimento integrado
Para configurar um proxy no seu ambiente de desenvolvimento integrado, siga estas etapas:
VS Code
Navegue até File>Settings (para Windows) ou Code>Settings>Settings (para macOS).
Na guia Usuário, navegue até Aplicativo>Proxy.
Na caixa em Proxy, insira o endereço do seu servidor proxy. Por
exemplo http://localhost:3128.
Opcional: para configurar o Gemini Code Assist para ignorar erros de certificado, em Proxy Strict SSL, marque ou desmarque a caixa de seleção. Essa configuração se aplica a todos os perfis.
IntelliJ
Navegue até Arquivo>Configurações (no Windows) ou IntelliJ
IDEA>Configurações (no macOS).
Navegue até Appearance & Behavior>System Settings>HTTP Proxy.
Selecione Configuração manual de proxy e depois HTTP.
No campo Nome do host, insira o nome do host do servidor proxy.
No campo Número da porta, insira o número da porta do servidor proxy.
Opcional: para configurar o Gemini Code Assist para ignorar erros de certificado, na barra lateral, clique em Ferramentas>Certificados do servidor e selecione ou desmarque Aceitar certificados não confiáveis automaticamente.
Configurar proxy PITM
Para configurar seu proxy PITM, siga estas etapas:
Verifique se a rede usa um proxy PITM capaz de interceptar e modificar o tráfego HTTPS.
Configure o proxy para interceptar todas as solicitações de saída para o
endpoint do Gemini Code Assist
(https://cloudcode-pa.googleapis.com). Não use caracteres curinga (*) ao
especificar o endpoint do Gemini Code Assist.
Configure o proxy para injetar o cabeçalho X-GeminiCodeAssist-Allowed-Domains em cada solicitação. O cabeçalho deve conter uma lista separada por vírgulas
de domínios permitidos (por exemplo, example.com, yourcompany.net).
Verifique se os nomes de domínio estão separados por vírgulas e
não incluem o símbolo @.
Se os cabeçalhos não forem resolvidos em pelo menos um domínio válido, as restrições não serão aplicadas. Por exemplo, um cabeçalho vazio não aplica restrições.
domain não vai aplicar restrições porque não é um nome de domínio válido.
Quando um usuário tenta acessar o Gemini Code Assist em um domínio que não está incluído na lista de cabeçalho, ele recebe uma mensagem informando que o administrador restringiu o uso do Gemini Code Assist no domínio.
Interceptação de SSL/TLS
Se o proxy precisar descriptografar o tráfego HTTPS para injetar o cabeçalho, verifique se ele está configurado para interceptação SSL/TLS. Isso geralmente envolve:
Gerando um certificado para o proxy.
Instalar o certificado do proxy nos dispositivos dos usuários para estabelecer confiança e evitar erros de certificado.
Validação de cabeçalho
O Gemini Code Assist valida automaticamente o cabeçalho
X-GeminiCodeAssist-Allowed-Domains e aplica as restrições.
Se o cabeçalho não resolver pelo menos um domínio válido, a validação não será realizada.
Se o domínio associado à autenticação do usuário não estiver na lista permitida, a solicitação será rejeitada. Por exemplo, se o usuário fizer login com uma conta do Gmail e apenas example.com estiver na lista permitida, a solicitação será rejeitada.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-04 UTC."],[[["\u003cp\u003eNetwork administrators can restrict access to Gemini Code Assist by user domain, enhancing security and controlling who can use the tool.\u003c/p\u003e\n"],["\u003cp\u003eA Person-in-the-Middle (PITM) proxy is used to inject an \u003ccode\u003eX-GeminiCodeAssist-Allowed-Domains\u003c/code\u003e header into requests, specifying allowed domains.\u003c/p\u003e\n"],["\u003cp\u003eConfiguring the proxy within IDEs like VS Code and IntelliJ involves setting the proxy server address and optionally managing certificate error settings.\u003c/p\u003e\n"],["\u003cp\u003eThe PITM proxy must intercept HTTPS traffic to Gemini Code Assist endpoints, injecting the header with a comma-separated list of valid domains, such as \u003ccode\u003eexample.com\u003c/code\u003e, \u003ccode\u003eyourcompany.net\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eGemini Code Assist automatically validates the header to ensure that users are coming from an allowed domain, rejecting the request if not.\u003c/p\u003e\n"]]],[],null,["# Control Network Access to Gemini Code Assist with User Domain Restrictions\n\nThis document provides instructions for network administrators to configure\ntheir networks to restrict access to Gemini Code Assist based on\nuser domains. This feature allows organizations to control which users within\ntheir network can utilize Gemini Code Assist, enhancing security\nand preventing unauthorized access.\n\nOverview\n--------\n\nYou can configure Gemini Code Assist to enforce user domain\nrestrictions using a Person-in-the-Middle (PITM) proxy approach. This involves\ninjecting a custom HTTP header,\n`X-GeminiCodeAssist-Allowed-Domains`, into requests made to\nGemini Code Assist. The header specifies a list of allowed\ndomains, and the Gemini Code Assist backend only processes\nrequests from users whose authenticated domain matches one of the allowed\ndomains.\n\nConfigure a proxy in your IDE\n-----------------------------\n\nTo configure a proxy in your IDE, follow these steps: \n\n### VS Code\n\n1. Navigate to **File** \\\u003e **Settings** (for Windows), or **Code**\n \\\u003e **Settings** \\\u003e **Settings** (for macOS).\n\n2. In the **User** tab, navigate to **Application** \\\u003e **Proxy**.\n\n3. In the box under **Proxy** , enter the address of your proxy server. For\n example `http://localhost:3128`.\n\n4. Optional: To configure Gemini Code Assist to ignore\n certificate errors, under **Proxy Strict SSL**, select or deselect the\n checkbox. This setting applies to all profiles.\n\n### IntelliJ\n\n1. Navigate to **File** \\\u003e **Settings** (for Windows) or **IntelliJ\n IDEA** \\\u003e **Settings** (for macOS).\n\n2. Navigate to **Appearance \\& Behavior** \\\u003e **System Settings**\n \\\u003e **HTTP Proxy**.\n\n3. Select **Manual proxy configuration** , and then select **HTTP**.\n\n4. In the **Host name** field, enter the hostname of your proxy server.\n\n5. In the **Port number** field, enter the port number of your proxy server.\n\n6. Optional: To configure Gemini Code Assist to ignore\n certificate errors, in the sidebar, click **Tools** \\\u003e **Server\n Certificates** and then select or deselect **Accept non-trusted certificates\n automatically**.\n\nConfigure PITM proxy\n--------------------\n\nTo configure your PITM proxy, follow these steps:\n\n1. Make sure your network utilizes a PITM proxy capable of intercepting and\n modifying HTTPS traffic.\n\n2. Configure the proxy to intercept all outgoing requests to the\n Gemini Code Assist endpoint\n (`https://cloudcode-pa.googleapis.com`). Don't use wildcards (`*`) when you\n specify the Gemini Code Assist endpoint.\n\n3. Configure the proxy to inject the `X-GeminiCodeAssist-Allowed-Domains`\n header into each request. The header should contain a comma-separated list\n of allowed domains (e.g., `example.com`, `yourcompany.net`).\n Make sure that domain names are separated by commas and\n don't include the `@` symbol.\n\n If headers aren't resolved into at least one valid domain, restrictions\n won't apply. For example, an empty header won't apply any restrictions.\n `domain` won't apply any restrictions as it isn't a valid domain name.\n\nWhen a user tries to access Gemini Code Assist from a domain not\nincluded in the header list, they see a message telling them that they're\nrestricted from using Gemini Code Assist on their domain by their\nadministrator.\n\nSSL/TLS interception\n--------------------\n\nIf your proxy needs to decrypt HTTPS traffic to inject the header, make sure\nit's configured for SSL/TLS interception. This typically involves:\n\n- Generating a certificate for the proxy.\n\n- Installing the proxy's certificate on user devices to establish trust and\n avoid certificate errors.\n\nHeader validation\n-----------------\n\n- Gemini Code Assist automatically validates the\n `X-GeminiCodeAssist-Allowed-Domains` header and enforces the restrictions.\n\n- If the header doesn't resolve to at least one valid domain, the validation\n won't be performed.\n\n- If the domain associated with the user's authentication isn't in the allowed\n list, the request is rejected. For example if the user logs in with a gmail\n account and only example.com is on the allowed list, the request is rejected.\n\nWhat's next\n-----------\n\nTo learn more about blocking access to consumer accounts, see\n[Block access to consumer accounts](https://support.google.com/a/answer/1668854)."]]
