Code Velocity
Eines per a Desenvolupadors

Autenticació de Codex: Assegurant l'accés a OpenAI per a desenvolupadors

·5 min de lectura·OpenAI·Font original
Compartir
AfrikaansالعربيةAzərbaycanБългарскиবাংলাCatalàČeštinaDanskDeutschΕλληνικάEnglishEspañolEestiفارسیSuomiFilipinoFrançaisעבריתहिन्दीHrvatskiMagyarBahasa IndonesiaÍslenskaItaliano日本語ქართული한국어LietuviųLatviešuBahasa MelayuNederlandsNorskPolskiPortuguêsRomânăРусскийSlovenčinaSlovenščinaShqipСрпскиSvenskaKiswahiliதமிழ்ไทยTürkçeУкраїнськаاردوTiếng Việt中文
Procés d'autenticació d'OpenAI Codex que mostra diverses opcions d'inici de sessió i mesures de seguretat per a desenvolupadors.

title: "Autenticació de Codex: Assegurant l'accés a OpenAI per a desenvolupadors" slug: "auth" date: "2026-03-26" lang: "ca" source: "https://developers.openai.com/codex/auth/" category: "Eines per a Desenvolupadors" keywords:

  • OpenAI Codex
  • autenticació
  • clau API
  • inici de sessió amb ChatGPT
  • Autenticació Multi-Factor
  • seguretat empresarial
  • emmagatzematge de credencials
  • inici de sessió headless
  • eines per a desenvolupadors
  • control d'accés
  • seguretat d'IA
  • controls administratius meta_description: "Comprèn els mètodes d'autenticació d'OpenAI Codex, inclosos l'inici de sessió amb ChatGPT i les claus API. Aprèn sobre les millors pràctiques de seguretat com l'MFA, l'emmagatzematge de credencials i els controls empresarials per a un desenvolupament d'IA segur." image: "/images/articles/auth.png" image_alt: "Procés d'autenticació d'OpenAI Codex que mostra diverses opcions d'inici de sessió i mesures de seguretat per a desenvolupadors." quality_score: 94 content_score: 93 seo_score: 95 companies:
  • OpenAI schema_type: "NewsArticle" reading_time: 5 faq:
  • question: "Quins són els mètodes d'autenticació principals per a OpenAI Codex, i quines són les seves diferències clau?" answer: "OpenAI Codex ofereix dos mètodes d'autenticació principals: 'Inici de sessió amb ChatGPT' i 'Inici de sessió amb una clau API'. L'inici de sessió amb ChatGPT concedeix accés basat en la vostra subscripció existent a ChatGPT, aplicant els vostres permisos d'espai de treball, RBAC i la configuració de retenció/residència de dades de ChatGPT Enterprise. Aquest mètode és obligatori per a Codex cloud i proporciona accés a funcions com el 'mode ràpid' impulsat pels crèdits de ChatGPT. Per contra, l'inici de sessió amb una clau API proporciona accés basat en l'ús, facturat a través del vostre compte de la plataforma OpenAI a les tarifes API estàndard. Aquest mètode segueix la configuració de compartició de dades de la vostra organització API i es recomana per a fluxos de treball programàtics com les tasques de CI/CD, oferint una major flexibilitat i un control granular sobre l'ús. Tot i que el CLI i l'extensió IDE admeten ambdós, Codex cloud requereix exclusivament l'inici de sessió amb ChatGPT."
  • question: "Per què l'Autenticació Multi-Factor (MFA) es considera crucial per assegurar un compte de Codex cloud, i com la poden activar els usuaris?" answer: "L'Autenticació Multi-Factor (MFA) és crucial per assegurar els comptes de Codex cloud perquè Codex interactua directament amb codi base sensible, necessitant mesures de seguretat robustes més enllà de les funcions estàndard de ChatGPT. L'MFA afegeix una capa essencial de protecció en requerir una segona forma de verificació, reduint significativament el risc d'accés no autoritzat fins i tot si una contrasenya es veu compromesa. Els usuaris poden activar l'MFA a través del seu proveïdor d'inici de sessió social (Google, Microsoft, Apple) si n'utilitzen un. Si s'inicia sessió amb correu electrònic i contrasenya, l'MFA ha de configurar-se al compte abans d'accedir a Codex cloud. Els usuaris empresarials que accedeixen mitjançant Single Sign-On (SSO) haurien de tenir l'MFA aplicada pel seu administrador d'SSO de l'organització, garantint una seguretat integral en tot l'entorn de desenvolupament."
  • question: "Com gestiona i emmagatzema Codex les credencials d'inici de sessió, i quines són les millors pràctiques de seguretat per gestionar-les?" answer: "Codex emmagatzema en memòria cau els detalls d'inici de sessió localment, ja sigui en un fitxer de text pla a ~/.codex/auth.json o dins de l'emmagatzematge de credencials natiu del vostre sistema operatiu. El CLI i l'extensió IDE comparteixen aquestes credencials emmagatzemades en memòria cau per comoditat. Per a l'inici de sessió amb ChatGPT, les sessions actives actualitzen automàticament els tokens per mantenir la continuïtat. Els usuaris poden controlar la ubicació d'emmagatzematge mitjançant la configuració cli_auth_credentials_store, triant 'file', 'keyring' (emmagatzematge de credencials del SO) o 'auto'. Quan s'utilitza l'emmagatzematge basat en fitxers, és fonamental tractar ~/.codex/auth.json amb la mateixa cura que una contrasenya: no el comprometeu mai al control de versions, no l'enganxeu en fòrums públics ni el compartiu al xat, ja que conté tokens d'accés sensibles. L'opció 'keyring' és generalment més segura, ja que aprofita la protecció a nivell del sistema operatiu."
  • question: "Quins controls administratius estan disponibles per gestionar l'autenticació de Codex en entorns gestionats, i com s'apliquen?" answer: "En entorns gestionats, els administradors poden imposar polítiques d'autenticació específiques per als usuaris de Codex mitjançant la configuració. El paràmetre forced_login_method pot restringir els usuaris a l'inici de sessió amb 'chatgpt' o amb clau 'api', garantint el compliment de les polítiques de seguretat o facturació de l'organització. A més, per als inicis de sessió de ChatGPT, la configuració forced_chatgpt_workspace_id permet als administradors restringir els usuaris a un espai de treball de ChatGPT particular, millorant la governança i la segregació de dades. Aquesta configuració s'aplica normalment mitjançant la configuració gestionada, en lloc de configuracions d'usuari individuals, garantint una aplicació de polítiques coherent a tota l'empresa. Si les credencials actives d'un usuari no coincideixen amb les restriccions imposades, Codex els tancarà la sessió automàticament i sortirà, mantenint un entorn segur i controlat."
  • question: "Quines opcions hi ha per iniciar sessió al CLI de Codex en dispositius headless o en entorns on la UI basada en navegador és problemàtica?" answer: "Per a escenaris que involucren dispositius headless, entorns remots o configuracions de xarxa locals que bloquegen la crida de retorn d'OAuth, Codex ofereix mètodes d'inici de sessió alternatius per al seu CLI. El mètode preferit és l''autenticació per codi de dispositiu' (actualment en beta). Per utilitzar-lo, els usuaris han d'activar primer l'inici de sessió per codi de dispositiu a la seva configuració de seguretat de ChatGPT (compte personal) o permisos d'espai de treball (per a administradors). Després, en interactuar amb el CLI, poden triar 'Inici de sessió amb codi de dispositiu' des de la UI interactiva o executar directament codex login --device-auth. Aquest mètode proporciona un codi que es pot introduir en un dispositiu separat amb un navegador, permetent l'autenticació sense una UI de navegador local. Si l'autenticació per codi de dispositiu no és factible, els mètodes de reserva podrien implicar enganxar tokens manualment o ajustos de configuració segons les indicacions del suport."
  • question: "Com afecta l'elecció del mètode d'autenticació (ChatGPT vs. clau API) les polítiques de gestió i retenció de dades a Codex?" answer: "El mètode d'autenticació escollit dicta significativament les polítiques de gestió i retenció de dades aplicades al vostre ús de Codex. Quan 'iniciau sessió amb ChatGPT', les vostres activitats de Codex s'adhereixen a les polítiques de gestió de dades, RBAC (Control d'accés basat en rols) i la configuració de retenció i residència empresarial configurades per al vostre espai de treball de ChatGPT. Això garanteix la coherència amb el vostre acord establert de ChatGPT Enterprise. Per contra, si 'iniciau sessió amb una clau API', el vostre ús segueix la configuració de retenció i compartició de dades establerta per a la vostra organització API de la plataforma OpenAI. Aquesta distinció és crucial per a les organitzacions que requereixen marcs de compliment o governança de dades específics, ja que determina com es processen i emmagatzemen per OpenAI les vostres interaccions de codi i altres dades generades per Codex."
  • question: "Es pot utilitzar Codex amb paquets de CA personalitzats per a una comunicació segura a través de xarxes corporatives?" answer: "Sí, Codex admet l'ús de paquets de CA personalitzats, la qual cosa és essencial per a entorns que operen darrere de proxies TLS corporatius o que utilitzen CA arrel privades. Per activar-ho, els usuaris han d'establir la variable d'entorn CODEX_CA_CERTIFICATE a la ruta del seu paquet PEM abans d'iniciar la sessió o qualsevol altra operació de Codex. Si CODEX_CA_CERTIFICATE no està configurada, Codex utilitzarà per defecte SSL_CERT_FILE. Aquesta configuració de CA personalitzada s'aplica uniformement a tots els canals de comunicació segurs, inclòs el procés d'inici de sessió, les sol·licituds HTTPS estàndard i les connexions WebSocket segures, garantint que tots els intercanvis de dades compleixen les polítiques de seguretat de la xarxa corporativa i són degudament fiats dins de la infraestructura organitzativa."

## Simplificació de l'autenticació de Codex: Una guia per a desenvolupadors

Codex d'OpenAI, un potent model d'IA per a la generació i comprensió de codi, s'ha convertit en una eina indispensable per als desenvolupadors. A mesura que les seves capacitats s'expandeixen a través de diverses interfícies —des d'aplicacions dedicades i extensions IDE fins a interfícies de línia d'ordres (CLI)—, comprendre els seus mecanismes d'autenticació és fonamental per a una integració de flux de treball segura i eficient. Aquest article aprofundeix en els mètodes d'autenticació principals per a Codex, explorant els seus matisos, implicacions de seguretat i millors pràctiques per a desenvolupadors i administradors.

Tant si busqueu aprofitar Codex per a prototipat ràpid, integrar-lo en els vostres pipelines de CI/CD o gestionar la seva implementació dins d'un entorn empresarial, dominar el procés d'**autenticació de Codex** és el primer pas.

### Triant el vostre mètode d'inici de sessió de Codex: ChatGPT vs. clau API

OpenAI Codex ofereix dos camins d'autenticació diferents en interactuar amb els seus models subjacents d'OpenAI, cadascun adaptat per a diferents casos d'ús i oferint beneficis únics:

1.  **Inici de sessió amb ChatGPT**: Aquest mètode connecta el vostre ús de Codex a la vostra subscripció existent de ChatGPT. És l'inici de sessió obligatori per als entorns de Codex cloud i proporciona accés a funcions específiques com el "mode ràpid", que es basa en els crèdits de ChatGPT. Quan us autentifiqueu d'aquesta manera, el vostre ús es regeix pels vostres permisos d'espai de treball de ChatGPT, el Control d'accés basat en rols (RBAC) i qualsevol configuració de retenció i residència de ChatGPT Enterprise que tingueu. El procés normalment implica un flux d'inici de sessió basat en navegador, que us redirigeix per completar l'autenticació abans de retornar un token d'accés al vostre client de Codex (aplicació, CLI o extensió IDE).

2.  **Inici de sessió amb una clau API**: Per als desenvolupadors que requereixen un control més granular sobre l'ús i la facturació, o per a l'accés programàtic, l'inici de sessió amb una clau API és la via preferida. Les claus API, obtenibles des del vostre [panell d'OpenAI](https://platform.openai.com/api-keys), vinculen el vostre ús de Codex directament al vostre compte de la plataforma OpenAI. La facturació es realitza a tarifes API estàndard, i la gestió de dades segueix la configuració de retenció i compartició de dades de la vostra organització API. Aquest mètode es recomana especialment per a fluxos de treball automatitzats, com ara les tasques de Continuous Integration/Continuous Deployment (CI/CD), on la interacció directa de l'usuari per a l'inici de sessió és poc pràctica. Tanmateix, les funcions dependents dels crèdits de ChatGPT podrien no estar disponibles mitjançant l'autenticació amb clau API.

És crucial tenir en compte que, mentre que el CLI i l'extensió IDE de Codex admeten ambdós mètodes, la interfície de Codex cloud exigeix l'inici de sessió amb ChatGPT.

Aquí teniu una comparació ràpida dels dos mètodes:

| Característica                 | Inici de sessió amb ChatGPT                                | Inici de sessió amb una clau API                                   |
| :----------------------------- | :--------------------------------------------------------- | :----------------------------------------------------------------- |
| **Cas d'ús principal**         | Ús interactiu, Codex cloud, funcions de subscripció        | Accés programàtic, CI/CD, facturació basada en l'ús               |
| **Model de facturació**        | Subscripció a ChatGPT / crèdits                            | Tarifes API estàndard de la plataforma OpenAI                        |
| **Governança de dades**        | Permisos d'espai de treball de ChatGPT, RBAC, configuració empresarial | Configuració de dades de l'organització API de la plataforma OpenAI |
| **Funcions**                   | Accés al 'mode ràpid' (crèdits de ChatGPT)                 | Accés API complet, sense 'mode ràpid' (utilitza preus estàndard)   |
| **Interfícies compatibles**    | Aplicació Codex, CLI, extensió IDE, Codex Cloud            | Aplicació Codex, CLI, extensió IDE (no Codex Cloud)                 |
| **Recomanació de seguretat** | MFA molt recomanada, obligatòria per a alguns             | Mai exposeu les claus API en entorns no fiables                     |

### Assegurant el vostre compte de Codex Cloud amb MFA

Donat que Codex interactua directament amb el vostre codi base, els seus requisits de seguretat sovint superen els d'altres funcions de ChatGPT. L'Autenticació Multi-Factor (MFA) és una salvaguarda crítica per al vostre compte de Codex cloud.

Si utilitzeu un proveïdor d'inici de sessió social (per exemple, Google, Microsoft, Apple), podeu i heu d'activar l'MFA a través de les seves respectives configuracions de seguretat. Per als usuaris que inicien sessió amb correu electrònic i contrasenya, la configuració de l'MFA al vostre compte és obligatòria abans de poder accedir a Codex cloud. Fins i tot si el vostre compte admet diversos mètodes d'inici de sessió, i un és correu electrònic/contrasenya, l'MFA ha de ser configurada.

Els usuaris empresarials que es beneficien de Single Sign-On (SSO) haurien de confiar en l'administrador d'SSO de la seva organització per aplicar l'MFA a tots els usuaris, establint una postura de seguretat coherent i robusta en general. Aquesta mesura proactiva redueix significativament el risc d'accés no autoritzat als vostres entorns de desenvolupament i propietat intel·lectual.

### Gestió de la memòria cau d'inici de sessió i l'emmagatzematge de credencials

Per comoditat de l'usuari, Codex emmagatzema en memòria cau les vostres dades d'inici de sessió localment. Tant si inicieu sessió amb ChatGPT com amb una clau API, l'aplicació Codex, el CLI i l'extensió IDE comparteixen aquestes credencials emmagatzemades en memòria cau. Això significa que, una vegada autenticat, generalment no haureu d'iniciar sessió de nou per a sessions posteriors. No obstant això, tancar la sessió des d'una interfície invalidarà la sessió compartida, requerint una nova autenticació.

Codex emmagatzema aquestes credencials en una de les dues ubicacions:
*   Un fitxer de text pla a `~/.codex/auth.json` (o directori `CODEX_HOME`).
*   L'emmagatzematge de credencials natiu del vostre sistema operatiu.

Podeu configurar on el CLI de Codex emmagatzema aquestes credencials mitjançant la configuració `cli_auth_credentials_store`, escollint entre `"file"`, `"keyring"` (per a l'emmagatzematge de credencials del SO) o `"auto"` (que intenta `keyring` primer, i després retorna a `file`).

**Millor pràctica de seguretat**: Si opteu per l'emmagatzematge basat en fitxers, tracteu `~/.codex/auth.json` amb la màxima cura, similar a una contrasenya sensible. Conté tokens d'accés que podrien concedir accés no autoritzat. **No comprometeu mai aquest fitxer al control de versions, no l'enganxeu en fòrums públics ni el compartiu per xat.** Per a una seguretat millorada, generalment es recomana utilitzar l'opció `keyring`, ja que aprofita la gestió de credencials integrada i més segura del sistema operatiu.

### Gestió avançada d'autenticació per a empreses

Per a les organitzacions que implementen Codex a través de nombrosos equips, uns controls administratius robustos són essencials per mantenir la seguretat i el compliment normatiu. OpenAI proporciona funcions per ajudar els administradors a imposar mètodes d'inici de sessió específics i restriccions d'espai de treball.

Els administradors poden utilitzar configuracions com `forced_login_method` per obligar l'inici de sessió amb "chatgpt" o amb clau "api" per a tots els usuaris dins d'un entorn gestionat. Això garanteix el compliment de les polítiques de seguretat internes o dels models de facturació. A més, per als inicis de sessió basats en ChatGPT, la configuració `forced_chatgpt_workspace_id` permet als administradors restringir els usuaris a un espai de treball de ChatGPT específic i aprovat.

Aquests controls s'apliquen normalment mitjançant [configuració gestionada](/ca/managed-configuration) en lloc de configuracions d'usuari individuals, garantint una aplicació coherent de les polítiques. Si les credencials actives d'un usuari no compleixen les restriccions configurades, Codex els tancarà la sessió automàticament i sortirà, mantenint la integritat de l'entorn gestionat.

### Inici de sessió de dispositiu Headless i paquets de CA personalitzats

Els desenvolupadors sovint treballen en entorns diversos, inclosos servidors remots o màquines headless on no hi ha una interfície gràfica de navegador disponible. Quan s'utilitza el CLI de Codex, si la UI estàndard d'inici de sessió basada en navegador és problemàtica (per exemple, a causa d'entorns headless o bloquejos de xarxa), OpenAI ofereix alternatives.

L'**autenticació per codi de dispositiu** (actualment en beta) és la solució preferida per a aquests escenaris. Després d'activar aquesta funció a la vostra configuració de seguretat de ChatGPT (compte personal o administrador de l'espai de treball), podeu triar "Inici de sessió amb codi de dispositiu" a l'inici de sessió interactiu del CLI o executar directament `codex login --device-auth`. Això genera un codi que podeu introduir en un dispositiu separat amb navegador per completar l'inici de sessió, garantint un accés segur sense un navegador local.

Per a les organitzacions que operen darrere de proxies TLS corporatius o que utilitzen autoritats de certificació (CA) arrel privades, la comunicació segura sovint requereix paquets de CA personalitzats. Codex ho permet configurant la variable d'entorn `CODEX_CA_CERTIFICATE` a la ruta del vostre paquet PEM abans d'iniciar sessió. Això garanteix que totes les connexions segures —inclòs l'inici de sessió, les sol·licituds HTTPS i les connexions WebSocket— confiïn en la vostra CA corporativa, mantenint el compliment normatiu i la seguretat a tota la vostra infraestructura. Podeu trobar més detalls sobre les millors pràctiques generals per connectar models d'IA en entorns segurs en recursos com la [Guia de Prompting de Codex](/ca/codex-prompting-guide).

Font original

https://developers.openai.com/codex/auth/

Preguntes freqüents

What are the primary authentication methods for OpenAI Codex, and what are their key differences?
OpenAI Codex offers two main authentication methods: 'Sign in with ChatGPT' and 'Sign in with an API key.' Signing in with ChatGPT grants access based on your existing ChatGPT subscription, applying your workspace permissions, RBAC, and ChatGPT Enterprise data retention/residency settings. This method is required for Codex cloud and provides access to features like 'fast mode' powered by ChatGPT credits. Conversely, signing in with an API key provides usage-based access, billed through your OpenAI Platform account at standard API rates. This method follows your API organization’s data-sharing settings and is recommended for programmatic workflows like CI/CD jobs, offering greater flexibility and granular control over usage. While the CLI and IDE extension support both, Codex cloud exclusively requires ChatGPT sign-in.
Why is Multi-Factor Authentication (MFA) considered crucial for securing a Codex cloud account, and how can users enable it?
Multi-Factor Authentication (MFA) is crucial for securing Codex cloud accounts because Codex interacts directly with sensitive codebase, necessitating robust security measures beyond standard ChatGPT features. MFA adds an essential layer of protection by requiring a second form of verification, significantly reducing the risk of unauthorized access even if a password is compromised. Users can enable MFA via their social login provider (Google, Microsoft, Apple) if they use one. If logging in with email and password, MFA *must* be set up on the account before accessing Codex cloud. Enterprise users accessing via Single Sign-On (SSO) should have MFA enforced by their organization's SSO administrator, ensuring comprehensive security across the development environment.
How does Codex manage and store login credentials, and what are the security best practices for handling them?
Codex caches login details locally, either in a plaintext file at `~/.codex/auth.json` or within your operating system's native credential store. The CLI and IDE extension share these cached credentials for convenience. For sign-in with ChatGPT, active sessions automatically refresh tokens to maintain continuity. Users can control storage location using the `cli_auth_credentials_store` setting, choosing 'file', 'keyring' (OS credential store), or 'auto'. When using file-based storage, it is critical to treat `~/.codex/auth.json` with the same care as a password: never commit it to version control, paste it into public forums, or share it in chat, as it contains sensitive access tokens. The 'keyring' option is generally more secure as it leverages OS-level protection.
What administrative controls are available for managing Codex authentication in managed environments, and how are they applied?
In managed environments, administrators can enforce specific authentication policies for Codex users through configuration settings. The `forced_login_method` parameter can restrict users to either 'chatgpt' or 'api' key login, ensuring compliance with organizational security or billing policies. Additionally, for ChatGPT logins, the `forced_chatgpt_workspace_id` setting allows administrators to restrict users to a particular ChatGPT workspace, enhancing governance and data segregation. These settings are typically applied via managed configuration, rather than individual user setups, ensuring consistent policy enforcement across the enterprise. If a user's active credentials don't match the enforced restrictions, Codex will automatically log them out and exit, maintaining a secure and controlled environment.
What options exist for logging into the Codex CLI on headless devices or in environments where the browser-based UI is problematic?
For scenarios involving headless devices, remote environments, or local networking configurations that block the OAuth callback, Codex offers alternative login methods for its CLI. The preferred method is 'device code authentication' (currently in beta). To use this, users must first enable device code login in their ChatGPT security settings (personal account) or workspace permissions (for administrators). Then, when interacting with the CLI, they can choose 'Sign in with Device Code' from the interactive UI or directly run `codex login --device-auth`. This method provides a code that can be entered on a separate device with a browser, allowing authentication without a local browser UI. If device code authentication is not feasible, fallback methods might involve manual token pasting or configuration adjustments as guided by support.
How does the choice of authentication method (ChatGPT vs. API Key) impact data handling and retention policies in Codex?
The chosen authentication method significantly dictates the data handling and retention policies applied to your Codex usage. When you 'Sign in with ChatGPT,' your Codex activities adhere to the data-handling policies, RBAC (Role-Based Access Control), and enterprise retention and residency settings configured for your ChatGPT workspace. This ensures consistency with your established ChatGPT Enterprise agreement. Conversely, if you 'Sign in with an API key,' your usage follows the data retention and sharing settings established for your OpenAI Platform API organization. This distinction is crucial for organizations requiring specific compliance or data governance frameworks, as it determines how your code interactions and other data generated by Codex are processed and stored by OpenAI.
Can Codex be used with custom CA bundles for secure communication over corporate networks?
Yes, Codex supports the use of custom CA bundles, which is essential for environments operating behind corporate TLS proxies or utilizing private root CAs. To enable this, users need to set the `CODEX_CA_CERTIFICATE` environment variable to the path of their PEM bundle before initiating a login or any other Codex operation. If `CODEX_CA_CERTIFICATE` is not set, Codex will default to using `SSL_CERT_FILE`. This custom CA setting uniformly applies across all secure communication channels, including the login process, standard HTTPS requests, and secure websocket connections, ensuring that all data exchanges comply with the corporate network's security policies and are properly trusted within the organizational infrastructure.

Manteniu-vos al dia

Rebeu les últimes notícies d'IA al correu.

Compartir