Controlar el acceso a la red de Gemini Code Assist con restricciones de dominio de usuario

En este documento se proporcionan instrucciones para que los administradores de redes configuren sus redes de forma que se restrinja el acceso a Gemini Code Assist en función de los dominios de los usuarios. Esta función permite a las organizaciones controlar qué usuarios de su red pueden utilizar Gemini Code Assist, lo que mejora la seguridad y evita el acceso no autorizado.

Información general

Puedes configurar Gemini Code Assist para que aplique restricciones de dominio de usuario mediante el encabezado HTTP personalizado X-GeminiCodeAssist-Allowed-Domains. Este encabezado especifica una lista de dominios permitidos, y el backend de Gemini Code Assist solo procesa las solicitudes de los usuarios cuyo dominio autenticado coincida con uno de los dominios permitidos.

Puedes usar un proxy de intermediario (PITM) para insertar este encabezado en las solicitudes que se hagan a Gemini Code Assist y que se originen en tu red.

Configurar un proxy en tu IDE

Para configurar un proxy en tu IDE, sigue estos pasos:

VS Code

  1. Ve a Archivo > Configuración (en Windows) o Código > Configuración > Configuración (en macOS).

  2. En la pestaña Usuario, vaya a Aplicación > Proxy.

  3. En el cuadro de Proxy, introduce la dirección de tu servidor proxy. Por ejemplo, http://localhost:3128.

  4. Opcional: Para configurar Gemini Code Assist de forma que ignore los errores de certificado, marca o desmarca la casilla Proxy Strict SSL. Este ajuste se aplica a todos los perfiles.

IntelliJ

  1. Ve a Archivo > Configuración (en Windows) o IntelliJ IDEA > Configuración (en macOS).

  2. Ve a Aspecto y comportamiento > Configuración del sistema > Proxy HTTP.

  3. Selecciona Configuración manual del proxy y, a continuación, HTTP.

  4. En el campo Nombre de host, introduce el nombre de host de tu servidor proxy.

  5. En el campo Número de puerto, introduce el número de puerto de tu servidor proxy.

  6. Opcional: Para configurar Gemini Code Assist de forma que ignore los errores de certificado, en la barra lateral, haz clic en Herramientas > Certificados de servidor y, a continuación, selecciona o desmarca Aceptar automáticamente certificados no fiables.

Configurar el proxy de PITM

Para configurar tu proxy PITM, sigue estos pasos:

  1. Asegúrese de que su red utiliza un proxy PITM capaz de interceptar y modificar el tráfico HTTPS.

  2. Configura el proxy para interceptar todas las solicitudes salientes al endpoint de Gemini Code Assist (https://cloudcode-pa.googleapis.com). No uses comodines (*) cuando especifiques el endpoint de Gemini Code Assist.

  3. Configura el proxy para insertar el encabezado X-GeminiCodeAssist-Allowed-Domains en cada solicitud. El encabezado debe contener una lista de dominios permitidos separados por comas (por ejemplo, example.com y yourcompany.net). Asegúrese de que los nombres de dominio estén separados por comas y no incluyan el símbolo @.

    Si los encabezados no se resuelven en al menos un dominio válido, no se aplicarán restricciones. Por ejemplo, si el encabezado está vacío, no se aplicará ninguna restricción. domain no aplicará ninguna restricción, ya que no es un nombre de dominio válido.

Cuando un usuario intenta acceder a Gemini Code Assist desde un dominio que no está incluido en la lista de encabezados, ve un mensaje en el que se le informa de que su administrador le ha restringido el uso de Gemini Code Assist en su dominio.

Intercepción de SSL/TLS

Si tu proxy necesita descifrar el tráfico HTTPS para insertar el encabezado, asegúrate de que esté configurado para la interceptación SSL/TLS. Normalmente, esto implica lo siguiente:

  • Generando un certificado para el proxy.

  • Instalar el certificado del proxy en los dispositivos de los usuarios para establecer la confianza y evitar errores de certificado.

Validación de encabezados

  • Gemini Code Assist valida automáticamente el encabezado X-GeminiCodeAssist-Allowed-Domains y aplica las restricciones.

  • Si el encabezado no se resuelve en al menos un dominio válido, no se realizará la validación.

  • Si el dominio asociado a la autenticación del usuario no está en la lista permitida, se rechazará la solicitud. Por ejemplo, si el usuario inicia sesión con una cuenta de Gmail y solo example.com está en la lista de permitidos, la solicitud se rechaza.

Siguientes pasos

Para obtener más información sobre cómo bloquear el acceso a cuentas de consumidor, consulta el artículo Bloquear el acceso de cuentas de consumidor.