本文提供網路管理員操作說明,協助設定網路,根據使用者網域限制 Gemini Code Assist 的存取權。這項功能可讓機構控管網路內哪些使用者能使用 Gemini Code Assist,進而提升安全性並防止未經授權的存取行為。
總覽
您可以設定 Gemini Code Assist,透過中間人 (PITM) 代理伺服器方法強制執行使用者網域限制。這包括將自訂 HTTP 標頭 X-GeminiCodeAssist-Allowed-Domains 插入傳送至 Gemini Code Assist 的要求。標頭會指定允許的網域清單,而 Gemini Code Assist 後端只會處理通過驗證的網域與允許網域相符的使用者要求。
在 IDE 中設定 Proxy
如要在 IDE 中設定 Proxy,請按照下列步驟操作:
VS Code
依序前往「File」>「Settings」 (適用於 Windows),或「Code」>「Settings」>「Settings」 (適用於 macOS)。
在「使用者」分頁中,依序前往「應用程式」>「Proxy」。
在「Proxy」下方的方塊中,輸入 Proxy 伺服器的地址。例如
http://localhost:3128。選用:如要設定 Gemini Code Assist 忽略憑證錯誤,請選取或取消選取「Proxy Strict SSL」下方的核取方塊。這項設定會套用至所有設定檔。
IntelliJ
依序前往「File」>「Settings」 (適用於 Windows),或「IntelliJ IDEA」>「Settings」 (適用於 macOS)。
依序前往「Appearance & Behavior」>「System Settings」>「HTTP Proxy」。
選取「手動 Proxy 設定」,然後選取「HTTP」。
在「主機名稱」欄位中,輸入 Proxy 伺服器的主機名稱。
在「Port number」(通訊埠號碼) 欄位中,輸入 Proxy 伺服器的通訊埠號碼。
選用:如要設定 Gemini Code Assist 忽略憑證錯誤,請依序點選側邊欄中的「工具」>「伺服器憑證」,然後選取或取消選取「自動接受非受信任的憑證」。
設定 PITM Proxy
如要設定 PITM Proxy,請按照下列步驟操作:
確認網路使用 PITM Proxy,可攔截及修改 HTTPS 流量。
設定 Proxy,攔截所有傳送至 Gemini Code Assist 端點 (
https://cloudcode-pa.googleapis.com) 的外送要求。指定 Gemini Code Assist 端點時,請勿使用萬用字元 (*)。設定 Proxy,將
X-GeminiCodeAssist-Allowed-Domains標頭插入每個要求。標頭應包含以半形逗號分隔的允許網域清單 (例如example.com、yourcompany.net)。 請務必以半形逗號分隔網域名稱,且不要加入@符號。如果標題未解析為至少一個有效網域,就不會套用限制。舉例來說,如果標頭為空白,系統就不會套用任何限制。
domain並非有效的網域名稱,因此不會套用任何限制。
如果使用者嘗試從未列入標頭清單的網域存取 Gemini Code Assist,系統會顯示訊息,告知使用者所屬網域的系統管理員已限制他們使用 Gemini Code Assist。
SSL/TLS 攔截
如果 Proxy 需要解密 HTTPS 流量才能插入標頭,請務必設定 SSL/TLS 攔截。這通常包括:
為 Proxy 產生憑證。
在使用者裝置上安裝 Proxy 的憑證,建立信任關係並避免發生憑證錯誤。
標頭驗證
Gemini Code Assist 會自動驗證
X-GeminiCodeAssist-Allowed-Domains標頭,並強制執行限制。如果標頭無法解析為至少一個有效網域,系統就不會執行驗證。
如果與使用者驗證相關聯的網域不在允許清單中,系統就會拒絕要求。舉例來說,如果使用者透過 Gmail 帳戶登入,但允許清單中只有 example.com,系統就會拒絕要求。
後續步驟
如要進一步瞭解如何封鎖個人帳戶的存取權,請參閱「封鎖個人帳戶的存取權」。