Codex-autentificering: Sikring af OpenAI-adgang for udviklere

title: "Codex-autentificering: Sikring af OpenAI-adgang for udviklere" slug: "auth" date: "2026-03-26" lang: "da" source: "https://developers.openai.com/codex/auth/" category: "Udviklerværktøjer" keywords:

OpenAI Codex
autentificering
API-nøgle
ChatGPT-login
Multi-faktor-autentificering
virksomhedssikkerhed
lagring af legitimationsoplysninger
headless-login
udviklerværktøjer
adgangskontrol
AI-sikkerhed
administrative kontroller meta_description: "Forstå OpenAI Codex-autentificeringsmetoder, herunder ChatGPT-login og API-nøgler. Lær om bedste sikkerhedspraksisser som MFA, lagring af legitimationsoplysninger og virksomhedskontroller for sikker AI-udvikling." image: "/images/articles/auth.png" image_alt: "OpenAI Codex-autentificeringsproces, der viser forskellige loginfunktioner og sikkerhedsforanstaltninger for udviklere." quality_score: 94 content_score: 93 seo_score: 95 companies:
OpenAI schema_type: "NewsArticle" reading_time: 5 faq:
question: "Hvad er de primære autentificeringsmetoder for OpenAI Codex, og hvad er deres vigtigste forskelle?" answer: "OpenAI Codex tilbyder to hovedautentificeringsmetoder: 'Log ind med ChatGPT' og 'Log ind med en API-nøgle'. Login med ChatGPT giver adgang baseret på dit eksisterende ChatGPT-abonnement, hvor dine arbejdsområdetilladelser, RBAC og ChatGPT Enterprise-indstillinger for dataopbevaring/residens anvendes. Denne metode er påkrævet for Codex cloud og giver adgang til funktioner som 'hurtig tilstand', der drives af ChatGPT-kreditter. Omvendt giver login med en API-nøgle forbrugsbaseret adgang, faktureret via din OpenAI Platform-konto til standard API-priser. Denne metode følger din API-organisations datadelingsindstillinger og anbefales til programmatiske arbejdsgange som CI/CD-jobs, hvilket tilbyder større fleksibilitet og granulær kontrol over brugen. Mens CLI'en og IDE-udvidelsen understøtter begge, kræver Codex cloud udelukkende ChatGPT-login."
question: "Hvorfor betragtes Multi-Faktor-Autentificering (MFA) som afgørende for at sikre en Codex cloud-konto, og hvordan kan brugere aktivere det?" answer: "Multi-Faktor-Autentificering (MFA) er afgørende for at sikre Codex cloud-konti, fordi Codex interagerer direkte med følsom kodebase, hvilket nødvendiggør robuste sikkerhedsforanstaltninger ud over standard ChatGPT-funktioner. MFA tilføjer et essentielt lag af beskyttelse ved at kræve en anden form for verificering, hvilket betydeligt reducerer risikoen for uautoriseret adgang, selv hvis en adgangskode kompromitteres. Brugere kan aktivere MFA via deres sociale login-udbyder (Google, Microsoft, Apple), hvis de bruger en. Hvis du logger ind med e-mail og adgangskode, skal MFA opsættes på kontoen, før du får adgang til Codex cloud. Virksomhedsbrugere, der får adgang via Single Sign-On (SSO), bør have MFA håndhævet af deres organisations SSO-administrator, hvilket sikrer omfattende sikkerhed på tværs af udviklingsmiljøet."
question: "Hvordan administrerer og gemmer Codex login-legitimationsoplysninger, og hvad er de bedste sikkerhedspraksisser for håndtering heraf?" answer: "Codex cachelagrer login-detaljer lokalt, enten i en klartekstfil på ~/.codex/auth.json eller inden for dit operativsystems native legitimationsopbevaring. CLI'en og IDE-udvidelsen deler disse cachelagrede legitimationsoplysninger for nemheds skyld. Ved login med ChatGPT fornyer aktive sessioner automatisk tokens for at opretholde kontinuitet. Brugere kan kontrollere lagringsstedet ved hjælp af cli_auth_credentials_store-indstillingen, hvor de kan vælge 'file', 'keyring' (OS' legitimationsopbevaring), eller 'auto'. Når der bruges filbaseret lagring, er det afgørende at behandle ~/.codex/auth.json med samme forsigtighed som en adgangskode: committ den aldrig til versionskontrol, indsæt den i offentlige fora, eller del den i chat, da den indeholder følsomme adgangstokens. 'Keyring'-muligheden er generelt mere sikker, da den udnytter beskyttelse på OS-niveau."
question: "Hvilke administrative kontroller er tilgængelige for administration af Codex-autentificering i administrerede miljøer, og hvordan anvendes de?" answer: "I administrerede miljøer kan administratorer håndhæve specifikke autentificeringspolitikker for Codex-brugere via konfigurationsindstillinger. Parameteren forced_login_method kan begrænse brugere til enten 'chatgpt' eller 'api'-nøgle-login, hvilket sikrer overholdelse af organisationens sikkerheds- eller faktureringspolitikker. Derudover tillader forced_chatgpt_workspace_id-indstillingen for ChatGPT-login administratorer at begrænse brugere til et bestemt ChatGPT-arbejdsområde, hvilket forbedrer styring og dataseparering. Disse indstillinger anvendes typisk via administreret konfiguration, snarere end individuelle brugeropsætninger, hvilket sikrer konsekvent politikimplementering på tværs af virksomheden. Hvis en brugers aktive legitimationsoplysninger ikke matcher de håndhævede begrænsninger, logger Codex dem automatisk ud og afslutter, hvilket opretholder et sikkert og kontrolleret miljø."
question: "Hvilke muligheder findes der for at logge ind på Codex CLI på headless-enheder eller i miljøer, hvor den browserbaserede brugerflade er problematisk?" answer: "For scenarier, der involverer headless-enheder, fjernmiljøer eller lokale netværkskonfigurationer, der blokerer OAuth-callback, tilbyder Codex alternative login-metoder til sin CLI. Den foretrukne metode er 'enhedskode-autentificering' (aktuelt i beta). For at bruge dette skal brugere først aktivere enhedskode-login i deres ChatGPT-sikkerhedsindstillinger (personlig konto) eller arbejdsområdetilladelser (for administratorer). Derefter, når de interagerer med CLI'en, kan de vælge 'Log ind med enhedskode' fra den interaktive brugerflade eller direkte køre codex login --device-auth. Denne metode giver en kode, der kan indtastes på en separat enhed med en browser, hvilket muliggør autentificering uden en lokal browser-brugerflade. Hvis enhedskode-autentificering ikke er mulig, kan fallback-metoder involvere manuel token-indsættelse eller konfigurationsjusteringer som vejledt af support."
question: "Hvordan påvirker valget af autentificeringsmetode (ChatGPT vs. API-nøgle) datahåndtering og opbevaringspolitikker i Codex?" answer: "Den valgte autentificeringsmetode dikterer i betydelig grad de datahåndterings- og opbevaringspolitikker, der anvendes på din Codex-brug. Når du 'Logger ind med ChatGPT', overholder dine Codex-aktiviteter de datahåndteringspolitikker, RBAC (Rollebaseret Adgangskontrol) og virksomhedens opbevarings- og residensindstillinger, der er konfigureret for dit ChatGPT-arbejdsområde. Dette sikrer konsistens med din etablerede ChatGPT Enterprise-aftale. Omvendt, hvis du 'Logger ind med en API-nøgle', følger din brug de dataopbevarings- og delingsindstillinger, der er fastsat for din OpenAI Platform API-organisation. Denne skelnen er afgørende for organisationer, der kræver specifikke compliance- eller datastyringsrammer, da den bestemmer, hvordan dine kodeinteraktioner og andre data genereret af Codex behandles og lagres af OpenAI."
question: "Kan Codex bruges med brugerdefinerede CA-bundter til sikker kommunikation over virksomhedsnetværk?" answer: "Ja, Codex understøtter brugen af brugerdefinerede CA-bundter, hvilket er essentielt for miljøer, der opererer bag virksomhedens TLS-proxyer eller anvender private rod-CA'er. For at aktivere dette skal brugere indstille miljøvariablen CODEX_CA_CERTIFICATE til stien for deres PEM-bundt, før de initierer et login eller en anden Codex-operation. Hvis CODEX_CA_CERTIFICATE ikke er indstillet, vil Codex som standard bruge SSL_CERT_FILE. Denne brugerdefinerede CA-indstilling gælder ensartet på tværs af alle sikre kommunikationskanaler, herunder login-processen, standard HTTPS-anmodninger og sikre websocket-forbindelser, hvilket sikrer, at al dataudveksling overholder virksomhedsnetværkets sikkerhedspolitikker og er korrekt betroet inden for den organisatoriske infrastruktur."

Strømlining af Codex-autentificering: En udviklervejledning

OpenAIs Codex, en kraftfuld AI-model til kodegenerering og -forståelse, er blevet et uundværligt værktøj for udviklere. Da dens muligheder udvides på tværs af forskellige grænseflader – fra dedikerede apps og IDE-udvidelser til kommandolinjegrænseflader (CLI) – er forståelsen af dens autentificeringsmekanismer afgørende for sikker og effektiv arbejdsgangsintegration. Denne artikel dykker ned i de grundlæggende autentificeringsmetoder for Codex og udforsker deres nuancer, sikkerhedsmæssige konsekvenser og bedste praksisser for udviklere og administratorer.

Uanset om du ønsker at udnytte Codex til hurtig prototyping, integrere det i dine CI/CD-pipelines eller administrere dets implementering i et virksomhedsmiljø, er det første skridt at mestre Codex-autentificeringsprocessen.

Valg af din Codex-loginmetode: ChatGPT vs. API-nøgle

OpenAI Codex tilbyder to forskellige autentificeringsveje, når der interageres med dens underliggende OpenAI-modeller, hver især skræddersyet til forskellige brugsscenarier og med unikke fordele:

Log ind med ChatGPT: Denne metode forbinder din Codex-brug til dit eksisterende ChatGPT-abonnement. Det er det påkrævede login for Codex cloud-miljøer og giver adgang til specifikke funktioner som 'hurtig tilstand', som bygger på ChatGPT-kreditter. Når du autentificerer på denne måde, styres din brug af dine ChatGPT-arbejdsområdetilladelser, Rollehåndteringsbaseret Adgangskontrol (RBAC) og eventuelle ChatGPT Enterprise-opbevarings- og residensindstillinger, du har på plads. Processen involverer typisk et browserbaseret login-flow, der omdirigerer dig til at gennemføre autentificering, før en adgangstoken returneres til din Codex-klient (app, CLI eller IDE-udvidelse).
Log ind med en API-nøgle: For udviklere, der kræver mere granulær kontrol over brug og fakturering, eller for programmatisk adgang, er login med en API-nøgle den foretrukne metode. API-nøgler, der kan opnås fra dit OpenAI-dashboard, forbinder din Codex-brug direkte til din OpenAI Platform-konto. Fakturering sker til standard API-priser, og datahåndtering følger din API-organisations opbevarings- og datadelingsindstillinger. Denne metode anbefales især til automatiserede arbejdsgange, såsom Continuous Integration/Continuous Deployment (CI/CD)-jobs, hvor direkte brugerinteraktion for login er upraktisk. Funktioner, der er afhængige af ChatGPT-kreditter, er dog muligvis ikke tilgængelige via API-nøgleautentificering.

Det er afgørende at bemærke, at selvom Codex CLI og IDE-udvidelsen understøtter begge metoder, kræver Codex cloud-grænsefladen login med ChatGPT.

Her er en hurtig sammenligning af de to metoder:

Funktion	Log ind med ChatGPT	Log ind med en API-nøgle
Primær brugssag	Interaktiv brug, Codex cloud, abonnementsfunktioner	Programmatisk adgang, CI/CD, forbrugsbaseret fakturering
Faktureringsmodel	ChatGPT-abonnement / kreditter	Standard OpenAI Platform API-priser
Datastyring	ChatGPT-arbejdsområdetilladelser, RBAC, virksomhedsindstillinger	OpenAI Platform API-organisationsdataindstillinger
Funktioner	Adgang til 'hurtig tilstand' (ChatGPT-kreditter)	Fuld API-adgang, ingen 'hurtig tilstand' (bruger standardpriser)
Understøttede grænseflader	Codex app, CLI, IDE-udvidelse, Codex Cloud	Codex app, CLI, IDE-udvidelse (ikke Codex Cloud)
Sikkerhedsanbefaling	MFA stærkt opmuntret, håndhævet for nogle	Udsæt aldrig API-nøgler i usikre miljøer

Sikring af din Codex cloud-konto med MFA

Da Codex interagerer direkte med din kodebase, overgår dens sikkerhedskrav ofte dem for andre ChatGPT-funktioner. Multi-Faktor-Autentificering (MFA) er en kritisk sikkerhedsforanstaltning for din Codex cloud-konto.

Hvis du benytter en social login-udbyder (f.eks. Google, Microsoft, Apple), kan og bør du aktivere MFA via deres respektive sikkerhedsindstillinger. For brugere, der logger ind med e-mail og adgangskode, er opsætning af MFA på din konto obligatorisk, før du kan få adgang til Codex cloud. Selvom din konto understøtter flere login-metoder, og en af dem er e-mail/adgangskode, skal MFA konfigureres.

Virksomhedsbrugere, der drager fordel af Single Sign-On (SSO), bør stole på deres organisations SSO-administrator til at håndhæve MFA for alle brugere, hvilket etablerer en konsekvent og robust sikkerhedsposition på tværs af linjen. Denne proaktive foranstaltning reducerer betydeligt risikoen for uautoriseret adgang til dine udviklingsmiljøer og intellektuelle ejendom.

For brugervenlighed cachelagrer Codex dine login-detaljer lokalt. Uanset om du logger ind med ChatGPT eller en API-nøgle, deler Codex-appen, CLI'en og IDE-udvidelsen disse cachelagrede legitimationsoplysninger. Det betyder, at når du først er autentificeret, behøver du generelt ikke at logge ind igen for efterfølgende sessioner. Men et logud fra én grænseflade vil ugyldiggøre den delte session og kræve genautentificering.

Codex gemmer disse legitimationsoplysninger på et af to steder:

En klartekstfil på ~/.codex/auth.json (eller CODEX_HOME-mappen).
Dit operativsystems native legitimationsopbevaring.

Du kan konfigurere, hvor Codex CLI gemmer disse legitimationsoplysninger, ved hjælp af cli_auth_credentials_store-indstillingen, hvor du kan vælge mellem "file", "keyring" (til OS' legitimationsopbevaring) eller "auto" (som først forsøger keyring, derefter falder tilbage til file).

Sikkerhedsbedste praksis: Hvis du vælger filbaseret lagring, skal du behandle ~/.codex/auth.json med den største forsigtighed, svarende til en følsom adgangskode. Den indeholder adgangstokens, der kan give uautoriseret adgang. Commit aldrig denne fil til versionskontrol, indsæt den i offentlige fora, eller del den via chat. For forbedret sikkerhed anbefales det generelt at anvende keyring-muligheden, da den udnytter operativsystemets indbyggede, mere sikre legitimationshåndtering.

Avanceret autentificeringsadministration for virksomheder

For organisationer, der implementerer Codex på tværs af talrige teams, er robuste administrative kontroller afgørende for at opretholde sikkerhed og compliance. OpenAI tilbyder funktioner, der hjælper administratorer med at håndhæve specifikke login-metoder og arbejdsområdebegrænsninger.

Administratorer kan bruge indstillinger som forced_login_method til at påbyde enten "chatgpt" eller "api"-nøgle-login for alle brugere i et administreret miljø. Dette sikrer overholdelse af interne sikkerhedspolitikker eller faktureringsmodeller. Derudover tillader forced_chatgpt_workspace_id-indstillingen for ChatGPT-baserede login administratorer at begrænse brugere til et specifikt, godkendt ChatGPT-arbejdsområde.

Disse kontroller anvendes typisk via administreret konfiguration snarere end individuelle brugerindstillinger, hvilket sikrer konsekvent politikimplementering. Hvis en brugers aktive legitimationsoplysninger ikke overholder de konfigurerede begrænsninger, logger Codex dem automatisk ud og afslutter, hvilket opretholder integriteten af det administrerede miljø.

Headless-enhedslogin og brugerdefinerede CA-bundter

Udviklere arbejder ofte i forskellige miljøer, herunder fjernservere eller headless-maskiner, hvor en grafisk browsergrænseflade ikke er tilgængelig. Når du bruger Codex CLI, hvis den standard browserbaserede login-brugerflade er problematisk (f.eks. på grund af headless-miljøer eller netværksblokeringer), tilbyder OpenAI alternativer.

Enhedskode-autentificering (aktuelt i beta) er den foretrukne løsning til sådanne scenarier. Efter aktivering af denne funktion i dine ChatGPT-sikkerhedsindstillinger (personlig eller arbejdsområdeadministrator) kan du vælge 'Log ind med enhedskode' i det interaktive CLI-login eller direkte køre codex login --device-auth. Dette genererer en kode, som du kan indtaste på en separat, browser-aktiveret enhed for at gennemføre login, hvilket sikrer sikker adgang uden en lokal browser.

For organisationer, der opererer bag virksomhedens TLS-proxyer eller bruger private rod-certifikatmyndigheder (CA'er), kræver sikker kommunikation ofte brugerdefinerede CA-bundter. Codex imødekommer dette ved at give dig mulighed for at indstille miljøvariablen CODEX_CA_CERTIFICATE til stien for dit PEM-bundt, før du logger ind. Dette sikrer, at alle sikre forbindelser – herunder login, HTTPS-anmodninger og WebSocket-forbindelser – stoler på din virksomheds CA, hvilket opretholder compliance og sikkerhed på tværs af din infrastruktur. Du kan finde flere detaljer om generelle bedste praksisser for tilslutning af AI-modeller i sikre miljøer i ressourcer som Codex Prompting Guide.

Ved at forstå og korrekt implementere disse autentificerings- og sikkerhedsfunktioner kan udviklere og virksomheder trygt integrere OpenAI Codex i deres arbejdsgange og udnytte dens kraft, samtidig med at der opretholdes robust kontrol over adgang og data.

Original kilde

https://developers.openai.com/codex/auth/

Ofte stillede spørgsmål

What are the primary authentication methods for OpenAI Codex, and what are their key differences?

OpenAI Codex offers two main authentication methods: 'Sign in with ChatGPT' and 'Sign in with an API key.' Signing in with ChatGPT grants access based on your existing ChatGPT subscription, applying your workspace permissions, RBAC, and ChatGPT Enterprise data retention/residency settings. This method is required for Codex cloud and provides access to features like 'fast mode' powered by ChatGPT credits. Conversely, signing in with an API key provides usage-based access, billed through your OpenAI Platform account at standard API rates. This method follows your API organization’s data-sharing settings and is recommended for programmatic workflows like CI/CD jobs, offering greater flexibility and granular control over usage. While the CLI and IDE extension support both, Codex cloud exclusively requires ChatGPT sign-in.

Why is Multi-Factor Authentication (MFA) considered crucial for securing a Codex cloud account, and how can users enable it?

Multi-Factor Authentication (MFA) is crucial for securing Codex cloud accounts because Codex interacts directly with sensitive codebase, necessitating robust security measures beyond standard ChatGPT features. MFA adds an essential layer of protection by requiring a second form of verification, significantly reducing the risk of unauthorized access even if a password is compromised. Users can enable MFA via their social login provider (Google, Microsoft, Apple) if they use one. If logging in with email and password, MFA *must* be set up on the account before accessing Codex cloud. Enterprise users accessing via Single Sign-On (SSO) should have MFA enforced by their organization's SSO administrator, ensuring comprehensive security across the development environment.

How does Codex manage and store login credentials, and what are the security best practices for handling them?

Codex caches login details locally, either in a plaintext file at `~/.codex/auth.json` or within your operating system's native credential store. The CLI and IDE extension share these cached credentials for convenience. For sign-in with ChatGPT, active sessions automatically refresh tokens to maintain continuity. Users can control storage location using the `cli_auth_credentials_store` setting, choosing 'file', 'keyring' (OS credential store), or 'auto'. When using file-based storage, it is critical to treat `~/.codex/auth.json` with the same care as a password: never commit it to version control, paste it into public forums, or share it in chat, as it contains sensitive access tokens. The 'keyring' option is generally more secure as it leverages OS-level protection.

What administrative controls are available for managing Codex authentication in managed environments, and how are they applied?

In managed environments, administrators can enforce specific authentication policies for Codex users through configuration settings. The `forced_login_method` parameter can restrict users to either 'chatgpt' or 'api' key login, ensuring compliance with organizational security or billing policies. Additionally, for ChatGPT logins, the `forced_chatgpt_workspace_id` setting allows administrators to restrict users to a particular ChatGPT workspace, enhancing governance and data segregation. These settings are typically applied via managed configuration, rather than individual user setups, ensuring consistent policy enforcement across the enterprise. If a user's active credentials don't match the enforced restrictions, Codex will automatically log them out and exit, maintaining a secure and controlled environment.

What options exist for logging into the Codex CLI on headless devices or in environments where the browser-based UI is problematic?

For scenarios involving headless devices, remote environments, or local networking configurations that block the OAuth callback, Codex offers alternative login methods for its CLI. The preferred method is 'device code authentication' (currently in beta). To use this, users must first enable device code login in their ChatGPT security settings (personal account) or workspace permissions (for administrators). Then, when interacting with the CLI, they can choose 'Sign in with Device Code' from the interactive UI or directly run `codex login --device-auth`. This method provides a code that can be entered on a separate device with a browser, allowing authentication without a local browser UI. If device code authentication is not feasible, fallback methods might involve manual token pasting or configuration adjustments as guided by support.

How does the choice of authentication method (ChatGPT vs. API Key) impact data handling and retention policies in Codex?

The chosen authentication method significantly dictates the data handling and retention policies applied to your Codex usage. When you 'Sign in with ChatGPT,' your Codex activities adhere to the data-handling policies, RBAC (Role-Based Access Control), and enterprise retention and residency settings configured for your ChatGPT workspace. This ensures consistency with your established ChatGPT Enterprise agreement. Conversely, if you 'Sign in with an API key,' your usage follows the data retention and sharing settings established for your OpenAI Platform API organization. This distinction is crucial for organizations requiring specific compliance or data governance frameworks, as it determines how your code interactions and other data generated by Codex are processed and stored by OpenAI.

Can Codex be used with custom CA bundles for secure communication over corporate networks?

Yes, Codex supports the use of custom CA bundles, which is essential for environments operating behind corporate TLS proxies or utilizing private root CAs. To enable this, users need to set the `CODEX_CA_CERTIFICATE` environment variable to the path of their PEM bundle before initiating a login or any other Codex operation. If `CODEX_CA_CERTIFICATE` is not set, Codex will default to using `SSL_CERT_FILE`. This custom CA setting uniformly applies across all secure communication channels, including the login process, standard HTTPS requests, and secure websocket connections, ensuring that all data exchanges comply with the corporate network's security policies and are properly trusted within the organizational infrastructure.

Hold dig opdateret

Få de seneste AI-nyheder i din indbakke.

Del