Codex-todennus: OpenAI-käytön turvaaminen kehittäjille

title: "Codex-todennus: OpenAI-käytön turvaaminen kehittäjille" slug: "auth" date: "2026-03-26" lang: "fi" source: "https://developers.openai.com/codex/auth/" category: "Kehittäjätyökalut" keywords:

OpenAI Codex
todennus
API-avain
ChatGPT-kirjautuminen
Monivaiheinen todennus
yritysturvallisuus
tunnistetietojen tallennus
headless-kirjautuminen
kehittäjätyökalut
käyttöoikeuksien hallinta
tekoälyturvallisuus
hallinnolliset ohjaimet meta_description: "Tutustu OpenAI Codex -todennusmenetelmiin, mukaan lukien ChatGPT-kirjautuminen ja API-avaimet. Opi tietoturvan parhaista käytännöistä, kuten monivaiheisesta todennuksesta, tunnistetietojen tallennuksesta ja yritystason hallintalaitteista turvalliseen tekoälyn kehitykseen." image: "/images/articles/auth.png" image_alt: "OpenAI Codexin todennusprosessi esittelee erilaisia sisäänkirjautumisvaihtoehtoja ja tietoturvatoimenpiteitä kehittäjille." quality_score: 94 content_score: 93 seo_score: 95 companies:
OpenAI schema_type: "NewsArticle" reading_time: 5 faq:
question: "Mitkä ovat OpenAI Codexin ensisijaiset todennusmenetelmät, ja mitä eroja niillä on?" answer: "OpenAI Codex tarjoaa kaksi pääasiallista todennusmenetelmää: 'Kirjaudu sisään ChatGPT:llä' ja 'Kirjaudu sisään API-avaimella'. ChatGPT:llä kirjautuminen myöntää pääsyn olemassa olevan ChatGPT-tilauksesi perusteella, soveltaen työtilasi oikeuksia, RBAC:ia ja ChatGPT Enterprisen tietojen säilytys-/residenssiasetuksia. Tämä menetelmä on pakollinen Codex pilvipalvelussa ja tarjoaa pääsyn ominaisuuksiin, kuten 'nopeaan tilaan', joka toimii ChatGPT-krediiteillä. API-avaimella kirjautuminen puolestaan tarjoaa käyttöperusteisen pääsyn, joka laskutetaan OpenAI Platform -tilisi kautta standardien API-hintojen mukaisesti. Tämä menetelmä noudattaa API-organisaatiosi tietojen jakamisasetuksia ja sitä suositellaan ohjelmallisiin työnkulkuihin, kuten CI/CD-tehtäviin, tarjoten suuremman joustavuuden ja tarkemman hallinnan käytöstä. Vaikka CLI ja IDE-laajennus tukevat molempia, Codex pilvipalvelu vaatii yksinomaan ChatGPT-kirjautumisen."
question: "Miksi monivaiheinen todennus (MFA) on kriittisen tärkeä Codex-pilvitilin turvaamisessa, ja miten käyttäjät voivat ottaa sen käyttöön?" answer: "Monivaiheinen todennus (MFA) on kriittinen Codex-pilvitilien turvaamisessa, koska Codex on suoraan vuorovaikutuksessa arkaluontoisen lähdekoodin kanssa, mikä edellyttää vankkoja turvatoimia ChatGPT:n standardiominaisuuksien lisäksi. MFA lisää olennaisen suojakerroksen vaatimalla toisen varmennusmuodon, mikä vähentää merkittävästi luvattoman pääsyn riskiä, vaikka salasana vaarantuisi. Käyttäjät voivat ottaa MFA:n käyttöön sosiaalisen kirjautumisen palveluntarjoajansa (Google, Microsoft, Apple) kautta, jos he käyttävät sellaista. Jos kirjaudutaan sisään sähköpostilla ja salasanalla, MFA täytyy määrittää tilille ennen Codex-pilvipalvelun käyttöä. Yrityskäyttäjien, jotka käyttävät kertakirjautumista (SSO), organisaation SSO-ylläpitäjän tulisi varmistaa MFA:n pakollisuus, mikä takaa kattavan turvallisuuden koko kehitysympäristössä."
question: "Miten Codex hallinnoi ja tallentaa kirjautumistietoja, ja mitkä ovat parhaat käytännöt niiden käsittelyssä?" answer: "Codex tallentaa kirjautumistiedot välimuistiin paikallisesti, joko pelkkänä tekstitiedostona osoitteessa ~/.codex/auth.json tai käyttöjärjestelmäsi natiivissa tunnistetietojen tallennustilassa. CLI ja IDE-laajennus jakavat nämä välimuistissa olevat tunnistetiedot mukavuuden vuoksi. ChatGPT:llä kirjautuessa aktiiviset istunnot päivittävät automaattisesti tunnukset jatkuvuuden ylläpitämiseksi. Käyttäjät voivat hallita tallennussijaintia cli_auth_credentials_store-asetuksen avulla, valiten 'file', 'keyring' (käyttöjärjestelmän tunnistetietovarasto) tai 'auto'. Tiedostopohjaista tallennusta käytettäessä on kriittisen tärkeää käsitellä tiedostoa ~/.codex/auth.json yhtä varovasti kuin salasanaa: älä koskaan sitouta sitä versionhallintaan, liitä sitä julkisille foorumeille tai jaa sitä chatissa, sillä se sisältää arkaluontoisia käyttöoikeustunnuksia. 'Keyring'-vaihtoehto on yleensä turvallisempi, koska se hyödyntää käyttöjärjestelmän tason suojausta."
question: "Mitä hallinnollisia ohjaimia on käytettävissä Codex-todennuksen hallintaan hallituissa ympäristöissä, ja miten niitä sovelletaan?" answer: "Hallituissa ympäristöissä järjestelmänvalvojat voivat pakottaa tiettyjä todennuskäytäntöjä Codex-käyttäjille konfiguraatioasetusten kautta. forced_login_method-parametri voi rajoittaa käyttäjät joko 'chatgpt'- tai 'api'-avaimen kirjautumiseen, mikä varmistaa organisaation tietoturva- tai laskutuskäytäntöjen noudattamisen. Lisäksi ChatGPT-kirjautumisten osalta forced_chatgpt_workspace_id-asetuksen avulla järjestelmänvalvojat voivat rajoittaa käyttäjät tiettyyn ChatGPT-työtilaan, mikä parantaa hallintoa ja tietojen erottelua. Nämä asetukset sovelletaan tyypillisesti hallitun konfiguraation kautta, pikemminkin kuin yksittäisten käyttäjien asetusten kautta, mikä varmistaa yhdenmukaisen käytännön täytäntöönpanon koko yrityksessä. Jos käyttäjän aktiiviset tunnistetiedot eivät vastaa pakotettuja rajoituksia, Codex kirjaa heidät automaattisesti ulos ja sulkeutuu, ylläpitäen turvallista ja hallittua ympäristöä."
question: "Mitä vaihtoehtoja on olemassa Codex CLI:hen kirjautumiseen headless-laitteilla tai ympäristöissä, joissa selaimen käyttöliittymä on ongelmallinen?" answer: "Skenaarioissa, jotka sisältävät headless-laitteita, etäympäristöjä tai paikallisia verkon konfiguraatioita, jotka estävät OAuth-takaisinkutsun, Codex tarjoaa vaihtoehtoisia kirjautumismenetelmiä CLI:lleen. Suosituin menetelmä on 'laitekooditodennus' (parhaillaan beta-vaiheessa). Tämän käyttämiseksi käyttäjien on ensin otettava laitekoodikirjautuminen käyttöön ChatGPT:n tietoturva-asetuksissa (henkilökohtainen tili) tai työtilan oikeuksissa (järjestelmänvalvojille). Sitten, kun he ovat vuorovaikutuksessa CLI:n kanssa, he voivat valita 'Kirjaudu sisään laitekoodilla' interaktiivisesta käyttöliittymästä tai suorittaa suoraan komennon codex login --device-auth. Tämä menetelmä tarjoaa koodin, jonka voit syöttää erilliseen laitteeseen selaimella, mahdollistaen todennuksen ilman paikallista selaimen käyttöliittymää. Jos laitekooditodennus ei ole mahdollista, varamenetelmät voivat sisältää manuaalisen tunnuksen liittämisen tai konfiguraation säätöjä tuen ohjeiden mukaisesti."
question: "Miten todennusmenetelmän valinta (ChatGPT vs. API-avain) vaikuttaa tietojen käsittely- ja säilytyskäytäntöihin Codexissa?" answer: "Valittu todennusmenetelmä määrittää merkittävästi Codexin käyttöön sovellettavat tietojen käsittely- ja säilytyskäytännöt. Kun 'kirjaudut sisään ChatGPT:llä', Codex-toimintasi noudattavat ChatGPT-työtilallesi määritettyjä tietojen käsittelykäytäntöjä, RBAC:ia (roolipohjainen pääsynhallinta) sekä yritystason säilytys- ja residenssiasetuksia. Tämä varmistaa johdonmukaisuuden vakiintuneen ChatGPT Enterprise -sopimuksesi kanssa. Jos puolestaan 'kirjaudut sisään API-avaimella', käyttösi noudattaa OpenAI Platform API -organisaatiollesi määritettyjä tietojen säilytys- ja jakamisasetuksia. Tämä ero on ratkaisevan tärkeä organisaatioille, jotka vaativat tiettyjä vaatimustenmukaisuus- tai tietohallintakehyksiä, sillä se määrittää, miten koodi-interaktiosi ja muut Codexin tuottamat tiedot käsitellään ja tallennetaan OpenAI:n toimesta."
question: "Voidaanko Codexia käyttää mukautettujen CA-pakettien kanssa turvalliseen viestintään yritysverkoissa?" answer: "Kyllä, Codex tukee mukautettujen CA-pakettien käyttöä, mikä on olennaista ympäristöille, jotka toimivat yrityksen TLS-välityspalvelimien takana tai käyttävät yksityisiä pää-CA:ita. Tämän mahdollistamiseksi käyttäjien on asetettava CODEX_CA_CERTIFICATE-ympäristömuuttujan arvoksi PEM-pakettinsa polku ennen kirjautumisen tai minkä tahansa muun Codex-toiminnon aloittamista. Jos CODEX_CA_CERTIFICATE ei ole asetettu, Codex käyttää oletuksena SSL_CERT_FILE-tiedostoa. Tämä mukautettu CA-asetus sovelletaan yhtenäisesti kaikkiin turvallisiin viestintäkanaviin, mukaan lukien kirjautumisprosessi, standardit HTTPS-pyynnöt ja turvalliset websocket-yhteydet, varmistaen, että kaikki tiedonsiirrot noudattavat yritysverkon tietoturvakäytäntöjä ja ovat asianmukaisesti luotettuja organisaation infrastruktuurissa."

Codex-todennuksen virtaviivaistaminen: Kehittäjän opas

OpenAI:n Codex, tehokas tekoälymalli koodin luomiseen ja ymmärtämiseen, on tullut välttämättömäksi työkaluksi kehittäjille. Koska sen ominaisuudet laajenevat eri käyttöliittymiin – omista sovelluksista ja IDE-laajennuksista komentorivikäyttöliittymiin (CLI) – sen todennusmekanismien ymmärtäminen on ensiarvoisen tärkeää turvallisen ja tehokkaan työnkulun integroinnin kannalta. Tämä artikkeli syventyy Codexin keskeisiin todennusmenetelmiin, niiden vivahteisiin, tietoturvavaikutuksiin ja parhaisiin käytäntöihin kehittäjille ja järjestelmänvalvojille.

Haluatpa sitten hyödyntää Codexia nopeaan prototyypitykseen, integroida sen CI/CD-putkiisi tai hallita sen käyttöönottoa yritysympäristössä, Codex-todennusprosessin hallitseminen on ensimmäinen askel.

Codex-kirjautumismenetelmän valinta: ChatGPT vs. API-avain

OpenAI Codex tarjoaa kaksi erillistä todennuspolkua ollessaan vuorovaikutuksessa sen taustalla olevien OpenAI-mallien kanssa. Kumpikin on räätälöity eri käyttötapauksiin ja tarjoaa ainutlaatuisia etuja:

Kirjaudu sisään ChatGPT:llä: Tämä menetelmä yhdistää Codexin käyttösi olemassa olevaan ChatGPT-tilaukseesi. Se on pakollinen kirjautumistapa Codexin pilviympäristöihin ja tarjoaa pääsyn tiettyihin ominaisuuksiin, kuten "nopeaan tilaan", joka perustuu ChatGPT-krediitteihin. Kun todennat tällä tavalla, käyttösi ohjautuu ChatGPT-työtilasi oikeuksien, roolipohjaisen pääsynhallinnan (RBAC) ja mahdollisten ChatGPT Enterprisen tietojen säilytys- ja residenssiasetusten mukaisesti. Prosessiin kuuluu tyypillisesti selainpohjainen kirjautumisvirta, joka ohjaa sinut suorittamaan todennuksen loppuun ennen käyttöoikeustunnuksen palauttamista Codex-asiakasohjelmallesi (sovellus, CLI tai IDE-laajennus).
Kirjaudu sisään API-avaimella: Kehittäjille, jotka tarvitsevat tarkempaa hallintaa käytöstä ja laskutuksesta tai ohjelmallista pääsyä, kirjautuminen API-avaimella on suositeltava tapa. API-avaimet, jotka ovat saatavilla OpenAI-hallintapaneelistasi, linkittävät Codexin käyttösi suoraan OpenAI Platform -tiliisi. Laskutus tapahtuu standardien API-hintojen mukaisesti, ja tietojen käsittely noudattaa API-organisaatiosi säilytys- ja tietojen jakamisasetuksia. Tätä menetelmää suositellaan erityisesti automatisoituihin työnkulkuihin, kuten jatkuvan integraation/jatkuvan toimituksen (CI/CD) töihin, joissa suora käyttäjän vuorovaikutus kirjautumisen yhteydessä on epäkäytännöllistä. Kuitenkin ChatGPT-krediiteistä riippuvaiset ominaisuudet eivät välttämättä ole saatavilla API-avaimen todennuksella.

On tärkeää huomata, että vaikka Codex CLI ja IDE-laajennus tukevat molempia menetelmiä, Codexin pilvikäyttöliittymä edellyttää kirjautumista ChatGPT:llä.

Tässä lyhyt vertailu kahdesta menetelmästä:

Ominaisuus	Kirjaudu sisään ChatGPT:llä	Kirjaudu sisään API-avaimella
Ensisijainen käyttötarkoitus	Interaktiivinen käyttö, Codex pilvessä, tilausominaisuudet	Ohjelmallinen pääsy, CI/CD, käyttöperusteinen laskutus
Laskutusmalli	ChatGPT-tilaus / krediitit	Standardit OpenAI Platform API -hinnat
Tietohallinto	ChatGPT-työtilan oikeudet, RBAC, yritysasetukset	OpenAI Platform API -organisaation tietoasetukset
Ominaisuudet	Pääsy 'nopeaan tilaan' (ChatGPT-krediitit)	Täysi API-käyttö, ei 'nopeaa tilaa' (käyttää standardihinnoittelua)
Tuetut käyttöliittymät	Codex-sovellus, CLI, IDE-laajennus, Codex pilvipalvelu	Codex-sovellus, CLI, IDE-laajennus (ei Codex pilvipalvelu)
Tietoturvasuositus	MFA erittäin suositeltavaa, pakollinen joillekin	Älä koskaan paljasta API-avaimia epäluotettavissa ympäristöissä

Codex-pilvitilin turvaaminen MFA:lla

Koska Codex on suoraan vuorovaikutuksessa lähdekoodisi kanssa, sen tietoturvavaatimukset ylittävät usein muiden ChatGPT-ominaisuuksien vaatimukset. Monivaiheinen todennus (MFA) on kriittinen suojakeino Codex-pilvitilillesi.

Jos käytät sosiaalisen kirjautumisen palveluntarjoajaa (esim. Google, Microsoft, Apple), voit ja sinun tulee ottaa MFA käyttöön heidän tietoturva-asetustensa kautta. Käyttäjille, jotka kirjautuvat sisään sähköpostilla ja salasanalla, MFA:n määrittäminen tilillesi on pakollista ennen kuin pääset käyttämään Codexin pilvipalvelua. Vaikka tilisi tukisi useita kirjautumismenetelmiä ja yksi niistä olisi sähköposti/salasana, MFA on määritettävä.

Kertakirjautumista (SSO) hyödyntävien yrityskäyttäjien tulisi luottaa organisaationsa SSO-järjestelmänvalvojaan MFA:n pakottamisessa kaikille käyttäjille, mikä luo johdonmukaisen ja vankan turvallisuusasennon kaikkialla. Tämä ennakoiva toimenpide vähentää merkittävästi riskiä luvattomaan pääsyyn kehitysympäristöihin ja immateriaalioikeuksiin.

Kirjautumistietojen välimuistiprosessin ja tunnistetietojen tallennuksen hallinta

Käyttäjän mukavuuden vuoksi Codex tallentaa kirjautumistietosi paikallisesti välimuistiin. Kirjauduitpa sitten sisään ChatGPT:llä tai API-avaimella, Codex-sovellus, CLI ja IDE-laajennus jakavat nämä välimuistissa olevat tunnistetiedot. Tämä tarkoittaa, että kun olet kerran tunnistautunut, sinun ei yleensä tarvitse kirjautua uudelleen sisään myöhemmillä istunnoilla. Kuitenkin uloskirjautuminen yhdestä käyttöliittymästä mitätöi jaetun istunnon, mikä vaatii uudelleenkirjautumisen.

Codex tallentaa nämä tunnistetiedot toiseen kahdesta paikasta:

Pelkkänä tekstitiedostona osoitteessa ~/.codex/auth.json (tai CODEX_HOME-hakemistossa).
Käyttöjärjestelmäsi natiivissa tunnistetietojen tallennustilassa.

Voit määrittää, mihin Codex CLI tallentaa nämä tunnistetiedot cli_auth_credentials_store-asetuksen avulla, valitsemalla "file", "keyring" (käyttöjärjestelmän tunnistetietovarastolle) tai "auto" (joka yrittää ensin keyring-vaihtoehtoa ja sitten palautuu file-vaihtoehtoon).

Tietoturvan paras käytäntö: Jos valitset tiedostopohjaisen tallennuksen, käsittele tiedostoa ~/.codex/auth.json äärimmäisen varovaisesti, samoin kuin arkaluontoista salasanaa. Se sisältää käyttöoikeustunnuksia, jotka voivat myöntää luvattoman pääsyn. Älä koskaan sitouta tätä tiedostoa versionhallintaan, liitä sitä julkisille foorumeille tai jaa sitä chatissa. Parannetun turvallisuuden vuoksi keyring-vaihtoehdon käyttö on yleensä suositeltavaa, sillä se hyödyntää käyttöjärjestelmän sisäänrakennettua, turvallisempaa tunnistetietojen hallintaa.

Edistynyt todennuksenhallinta yrityksille

Organisaatioille, jotka ottavat Codexin käyttöön useissa tiimeissä, vankat hallinnolliset ohjaimet ovat välttämättömiä turvallisuuden ja vaatimustenmukaisuuden ylläpitämiseksi. OpenAI tarjoaa ominaisuuksia, jotka auttavat järjestelmänvalvojia pakottamaan tietyt kirjautumismenetelmät ja työtilarajoitukset.

Järjestelmänvalvojat voivat käyttää asetuksia, kuten forced_login_method, pakottaakseen joko "chatgpt"- tai "api"-avaimen kirjautumisen kaikille käyttäjille hallitussa ympäristössä. Tämä varmistaa sisäisten tietoturvakäytäntöjen tai laskutusmallien noudattamisen. Lisäksi ChatGPT-pohjaisten kirjautumisten osalta forced_chatgpt_workspace_id-asetuksen avulla järjestelmänvalvojat voivat rajoittaa käyttäjät tiettyyn, hyväksyttyyn ChatGPT-työtilaan.

Nämä ohjaimet sovelletaan tyypillisesti hallitun konfiguraation kautta, pikemminkin kuin yksittäisten käyttäjien asetusten kautta, mikä varmistaa yhdenmukaisen käytännön täytäntöönpanon. Jos käyttäjän aktiiviset tunnistetiedot eivät vastaa määritettyjä rajoituksia, Codex kirjaa heidät automaattisesti ulos ja sulkeutuu, säilyttäen hallitun ympäristön eheyden.

Headless-laitteen kirjautuminen ja mukautetut CA-paketit

Kehittäjät työskentelevät usein erilaisissa ympäristöissä, mukaan lukien etäpalvelimet tai headless-koneet, joissa graafinen selaimen käyttöliittymä ei ole saatavilla. Kun käytetään Codex CLI:tä, jos standardi selainpohjainen kirjautumiskäyttöliittymä on ongelmallinen (esim. headless-ympäristöjen tai verkon estojen vuoksi), OpenAI tarjoaa vaihtoehtoja.

Laitekooditodennus (parhaillaan beta-vaiheessa) on suositeltava ratkaisu tällaisiin skenaarioihin. Kun olet ottanut tämän ominaisuuden käyttöön ChatGPT:n tietoturva-asetuksissasi (henkilökohtainen tai työtilan järjestelmänvalvoja), voit valita 'Kirjaudu sisään laitekoodilla' interaktiivisessa CLI-kirjautumisessa tai suorittaa suoraan komennon codex login --device-auth. Tämä luo koodin, jonka voit syöttää erilliseen, selainkäyttöiseen laitteeseen kirjautumisen loppuunsaattamiseksi, varmistaen turvallisen pääsyn ilman paikallista selainta.

Yritys-TLS-välityspalvelimien takana toimiville organisaatioille tai niille, jotka käyttävät yksityisiä päävarmenteita (CA), turvallinen viestintä vaatii usein mukautettuja CA-paketteja. Codex ottaa tämän huomioon antamalla sinun asettaa CODEX_CA_CERTIFICATE-ympäristömuuttujan arvoksi PEM-pakettisi polku ennen kirjautumista. Tämä varmistaa, että kaikki turvalliset yhteydet – mukaan lukien kirjautuminen, HTTPS-pyynnöt ja WebSocket-yhteydet – luottavat yrityksesi CA:han, ylläpitäen vaatimustenmukaisuutta ja turvallisuutta koko infrastruktuurissasi. Lisätietoja tekoälymallien yhdistämisen yleisistä parhaista käytännöistä turvallisissa ympäristöissä löydät resursseista, kuten Codex-kehotteiden opas.

Ymmärtämällä ja toteuttamalla oikein nämä todennus- ja tietoturvaominaisuudet kehittäjät ja yritykset voivat luottavaisin mielin integroida OpenAI Codexin työnkulkuihinsa hyödyntäen sen voimaa samalla kun ylläpitävät vankkaa hallintaa pääsystä ja tiedoista.

Alkuperäinen lähde

https://developers.openai.com/codex/auth/

Usein kysytyt kysymykset

What are the primary authentication methods for OpenAI Codex, and what are their key differences?

OpenAI Codex offers two main authentication methods: 'Sign in with ChatGPT' and 'Sign in with an API key.' Signing in with ChatGPT grants access based on your existing ChatGPT subscription, applying your workspace permissions, RBAC, and ChatGPT Enterprise data retention/residency settings. This method is required for Codex cloud and provides access to features like 'fast mode' powered by ChatGPT credits. Conversely, signing in with an API key provides usage-based access, billed through your OpenAI Platform account at standard API rates. This method follows your API organization’s data-sharing settings and is recommended for programmatic workflows like CI/CD jobs, offering greater flexibility and granular control over usage. While the CLI and IDE extension support both, Codex cloud exclusively requires ChatGPT sign-in.

Why is Multi-Factor Authentication (MFA) considered crucial for securing a Codex cloud account, and how can users enable it?

Multi-Factor Authentication (MFA) is crucial for securing Codex cloud accounts because Codex interacts directly with sensitive codebase, necessitating robust security measures beyond standard ChatGPT features. MFA adds an essential layer of protection by requiring a second form of verification, significantly reducing the risk of unauthorized access even if a password is compromised. Users can enable MFA via their social login provider (Google, Microsoft, Apple) if they use one. If logging in with email and password, MFA *must* be set up on the account before accessing Codex cloud. Enterprise users accessing via Single Sign-On (SSO) should have MFA enforced by their organization's SSO administrator, ensuring comprehensive security across the development environment.

How does Codex manage and store login credentials, and what are the security best practices for handling them?

Codex caches login details locally, either in a plaintext file at `~/.codex/auth.json` or within your operating system's native credential store. The CLI and IDE extension share these cached credentials for convenience. For sign-in with ChatGPT, active sessions automatically refresh tokens to maintain continuity. Users can control storage location using the `cli_auth_credentials_store` setting, choosing 'file', 'keyring' (OS credential store), or 'auto'. When using file-based storage, it is critical to treat `~/.codex/auth.json` with the same care as a password: never commit it to version control, paste it into public forums, or share it in chat, as it contains sensitive access tokens. The 'keyring' option is generally more secure as it leverages OS-level protection.

What administrative controls are available for managing Codex authentication in managed environments, and how are they applied?

In managed environments, administrators can enforce specific authentication policies for Codex users through configuration settings. The `forced_login_method` parameter can restrict users to either 'chatgpt' or 'api' key login, ensuring compliance with organizational security or billing policies. Additionally, for ChatGPT logins, the `forced_chatgpt_workspace_id` setting allows administrators to restrict users to a particular ChatGPT workspace, enhancing governance and data segregation. These settings are typically applied via managed configuration, rather than individual user setups, ensuring consistent policy enforcement across the enterprise. If a user's active credentials don't match the enforced restrictions, Codex will automatically log them out and exit, maintaining a secure and controlled environment.

What options exist for logging into the Codex CLI on headless devices or in environments where the browser-based UI is problematic?

For scenarios involving headless devices, remote environments, or local networking configurations that block the OAuth callback, Codex offers alternative login methods for its CLI. The preferred method is 'device code authentication' (currently in beta). To use this, users must first enable device code login in their ChatGPT security settings (personal account) or workspace permissions (for administrators). Then, when interacting with the CLI, they can choose 'Sign in with Device Code' from the interactive UI or directly run `codex login --device-auth`. This method provides a code that can be entered on a separate device with a browser, allowing authentication without a local browser UI. If device code authentication is not feasible, fallback methods might involve manual token pasting or configuration adjustments as guided by support.

How does the choice of authentication method (ChatGPT vs. API Key) impact data handling and retention policies in Codex?

The chosen authentication method significantly dictates the data handling and retention policies applied to your Codex usage. When you 'Sign in with ChatGPT,' your Codex activities adhere to the data-handling policies, RBAC (Role-Based Access Control), and enterprise retention and residency settings configured for your ChatGPT workspace. This ensures consistency with your established ChatGPT Enterprise agreement. Conversely, if you 'Sign in with an API key,' your usage follows the data retention and sharing settings established for your OpenAI Platform API organization. This distinction is crucial for organizations requiring specific compliance or data governance frameworks, as it determines how your code interactions and other data generated by Codex are processed and stored by OpenAI.

Can Codex be used with custom CA bundles for secure communication over corporate networks?

Yes, Codex supports the use of custom CA bundles, which is essential for environments operating behind corporate TLS proxies or utilizing private root CAs. To enable this, users need to set the `CODEX_CA_CERTIFICATE` environment variable to the path of their PEM bundle before initiating a login or any other Codex operation. If `CODEX_CA_CERTIFICATE` is not set, Codex will default to using `SSL_CERT_FILE`. This custom CA setting uniformly applies across all secure communication channels, including the login process, standard HTTPS requests, and secure websocket connections, ensuring that all data exchanges comply with the corporate network's security policies and are properly trusted within the organizational infrastructure.

Pysy ajan tasalla

Saa uusimmat tekoälyuutiset sähköpostiisi.

Jaa