Code Velocity
Strumenti per Sviluppatori

Autenticazione Codex: Proteggere l''Accesso a OpenAI per gli Sviluppatori

·5 min di lettura·OpenAI·Fonte originale
Condividi
AfrikaansالعربيةAzərbaycanБългарскиবাংলাCatalàČeštinaDanskDeutschΕλληνικάEnglishEspañolEestiفارسیSuomiFilipinoFrançaisעבריתहिन्दीHrvatskiMagyarBahasa IndonesiaÍslenskaItaliano日本語ქართული한국어LietuviųLatviešuBahasa MelayuNederlandsNorskPolskiPortuguêsRomânăРусскийSlovenčinaSlovenščinaShqipСрпскиSvenskaKiswahiliதமிழ்ไทยTürkçeУкраїнськаاردوTiếng Việt中文
Processo di autenticazione di OpenAI Codex che mostra varie opzioni di accesso e misure di sicurezza per gli sviluppatori.

title: 'Autenticazione Codex: Proteggere l''Accesso a OpenAI per gli Sviluppatori' slug: "auth" date: "2026-03-26" lang: "it" source: "https://developers.openai.com/codex/auth/" category: "Strumenti per Sviluppatori" keywords:

  • OpenAI Codex
  • autenticazione
  • chiave API
  • accesso ChatGPT
  • autenticazione a più fattori
  • sicurezza aziendale
  • archiviazione credenziali
  • accesso headless
  • strumenti per sviluppatori
  • controllo accessi
  • sicurezza AI
  • controlli amministrativi meta_description: 'Comprendi i metodi di autenticazione di OpenAI Codex, inclusi l''accesso ChatGPT e le chiavi API. Scopri le migliori pratiche di sicurezza come MFA, archiviazione delle credenziali e controlli aziendali per uno sviluppo AI sicuro.' image: "/images/articles/auth.png" image_alt: "Processo di autenticazione di OpenAI Codex che mostra varie opzioni di accesso e misure di sicurezza per gli sviluppatori." quality_score: 94 content_score: 93 seo_score: 95 companies:
  • OpenAI schema_type: "NewsArticle" reading_time: 5 faq:
  • question: 'Quali sono i principali metodi di autenticazione per OpenAI Codex e quali sono le loro differenze chiave?' answer: "OpenAI Codex offre due metodi di autenticazione principali: 'Accedi con ChatGPT' e 'Accedi con una chiave API'. L'accesso con ChatGPT garantisce l'accesso in base all'abbonamento ChatGPT esistente, applicando le autorizzazioni del tuo workspace, RBAC e le impostazioni di conservazione/residenza dei dati di ChatGPT Enterprise. Questo metodo è richiesto per il cloud Codex e fornisce l'accesso a funzionalità come la 'modalità veloce' alimentata dai crediti ChatGPT. Al contrario, l'accesso con una chiave API fornisce un accesso basato sull'utilizzo, fatturato tramite il tuo account della piattaforma OpenAI alle tariffe API standard. Questo metodo segue le impostazioni di condivisione dei dati della tua organizzazione API ed è consigliato per i flussi di lavoro programmatici come i processi CI/CD, offrendo maggiore flessibilità e controllo granulare sull'utilizzo. Sebbene la CLI e l'estensione IDE supportino entrambi, il cloud Codex richiede esclusivamente l'accesso tramite ChatGPT."
  • question: 'Perché l''Autenticazione a più fattori (MFA) è considerata cruciale per proteggere un account cloud Codex e come possono gli utenti abilitarla?' answer: "L'Autenticazione a più fattori (MFA) è cruciale per proteggere gli account cloud Codex perché Codex interagisce direttamente con codebase sensibili, rendendo necessarie robuste misure di sicurezza che vanno oltre le funzionalità standard di ChatGPT. L'MFA aggiunge un livello essenziale di protezione richiedendo una seconda forma di verifica, riducendo significativamente il rischio di accesso non autorizzato anche se una password viene compromessa. Gli utenti possono abilitare l'MFA tramite il loro provider di accesso sociale (Google, Microsoft, Apple) se ne utilizzano uno. Se si accede con e-mail e password, l'MFA deve essere configurata sull'account prima di accedere al cloud Codex. Gli utenti aziendali che accedono tramite Single Sign-On (SSO) dovrebbero avere l'MFA imposta dall'amministratore SSO della loro organizzazione, garantendo una sicurezza completa nell'ambiente di sviluppo."
  • question: 'Come gestisce e archivia Codex le credenziali di accesso e quali sono le migliori pratiche di sicurezza per gestirle?' answer: "Codex memorizza nella cache i dettagli di accesso localmente, sia in un file di testo semplice in ~/.codex/auth.json sia all'interno dell'archivio credenziali nativo del sistema operativo. La CLI e l'estensione IDE condividono queste credenziali memorizzate nella cache per comodità. Per l'accesso con ChatGPT, le sessioni attive aggiornano automaticamente i token per mantenere la continuità. Gli utenti possono controllare la posizione di archiviazione utilizzando l'impostazione cli_auth_credentials_store, scegliendo 'file', 'keyring' (archivio credenziali OS) o 'auto'. Quando si utilizza l'archiviazione basata su file, è fondamentale trattare ~/.codex/auth.json con la stessa cura di una password: non commetterlo mai al controllo di versione, non incollarlo in forum pubblici o non condividerlo in chat, poiché contiene token di accesso sensibili. L'opzione 'keyring' è generalmente più sicura in quanto sfrutta la protezione a livello di sistema operativo."
  • question: 'Quali controlli amministrativi sono disponibili per la gestione dell''autenticazione Codex in ambienti gestiti e come vengono applicati?' answer: "In ambienti gestiti, gli amministratori possono imporre politiche di autenticazione specifiche per gli utenti Codex tramite le impostazioni di configurazione. Il parametro forced_login_method può limitare gli utenti all'accesso tramite 'chatgpt' o chiave 'api', garantendo la conformità alle politiche di sicurezza o di fatturazione organizzative. Inoltre, per gli accessi ChatGPT, l'impostazione forced_chatgpt_workspace_id consente agli amministratori di limitare gli utenti a un particolare workspace ChatGPT, migliorando la governance e la segregazione dei dati. Queste impostazioni vengono tipicamente applicate tramite configurazione gestita, piuttosto che tramite configurazioni individuali degli utenti, garantendo un'applicazione coerente delle politiche in tutta l'azienda. Se le credenziali attive di un utente non corrispondono alle restrizioni imposte, Codex lo disconnetterà automaticamente ed uscirà, mantenendo un ambiente sicuro e controllato."
  • question: 'Quali opzioni esistono per accedere alla CLI di Codex su dispositivi headless o in ambienti in cui l''interfaccia utente basata su browser è problematica?' answer: "Per scenari che coinvolgono dispositivi headless, ambienti remoti o configurazioni di rete locali che bloccano il callback OAuth, Codex offre metodi di accesso alternativi per la sua CLI. Il metodo preferito è l''autenticazione tramite codice dispositivo' (attualmente in beta). Per utilizzarlo, gli utenti devono prima abilitare l'accesso tramite codice dispositivo nelle impostazioni di sicurezza di ChatGPT (account personale) o nelle autorizzazioni del workspace (per gli amministratori). Quindi, quando interagiscono con la CLI, possono scegliere 'Accedi con Codice Dispositivo' dall'interfaccia utente interattiva o eseguire direttamente codex login --device-auth. Questo metodo fornisce un codice che può essere inserito su un dispositivo separato con un browser, consentendo l'autenticazione senza un'interfaccia utente browser locale. Se l'autenticazione tramite codice dispositivo non è fattibile, i metodi di fallback potrebbero includere l'incollamento manuale dei token o la regolazione della configurazione come guidato dal supporto."
  • question: 'In che modo la scelta del metodo di autenticazione (ChatGPT vs. Chiave API) influisce sulla gestione dei dati e sulle politiche di conservazione in Codex?' answer: "Il metodo di autenticazione scelto determina in modo significativo le politiche di gestione e conservazione dei dati applicate all'utilizzo di Codex. Quando 'Accedi con ChatGPT', le tue attività Codex aderiscono alle politiche di gestione dei dati, RBAC (Role-Based Access Control) e alle impostazioni aziendali di conservazione e residenza configurate per il tuo workspace ChatGPT. Ciò garantisce la coerenza con il tuo accordo ChatGPT Enterprise stabilito. Al contrario, se 'Accedi con una chiave API', il tuo utilizzo segue le impostazioni di conservazione e condivisione dei dati stabilite per la tua organizzazione API della piattaforma OpenAI. Questa distinzione è cruciale per le organizzazioni che richiedono specifici framework di conformità o governance dei dati, poiché determina come le tue interazioni con il codice e altri dati generati da Codex vengono elaborati e archiviati da OpenAI."
  • question: 'Codex può essere utilizzato con bundle CA personalizzati per comunicazioni sicure su reti aziendali?' answer: "Sì, Codex supporta l'uso di bundle CA personalizzati, il che è essenziale per ambienti che operano dietro proxy TLS aziendali o che utilizzano CA radice private. Per abilitarlo, gli utenti devono impostare la variabile d'ambiente CODEX_CA_CERTIFICATE sul percorso del loro bundle PEM prima di iniziare un accesso o qualsiasi altra operazione Codex. Se CODEX_CA_CERTIFICATE non è impostata, Codex utilizzerà per impostazione predefinita SSL_CERT_FILE. Questa impostazione CA personalizzata si applica uniformemente a tutti i canali di comunicazione sicuri, incluso il processo di accesso, le richieste HTTPS standard e le connessioni websocket sicure, garantendo che tutti gli scambi di dati siano conformi alle politiche di sicurezza della rete aziendale e siano correttamente considerati attendibili all'interno dell'infrastruttura organizzativa."

## Semplificare l'Autenticazione Codex: Una Guida per Sviluppatori

Codex di OpenAI, un potente modello AI per la generazione e la comprensione del codice, è diventato uno strumento indispensabile per gli sviluppatori. Poiché le sue capacità si espandono attraverso varie interfacce—da app dedicate ed estensioni IDE a interfacce a riga di comando (CLI)—comprendere i suoi meccanismi di autenticazione è fondamentale per un'integrazione del flusso di lavoro sicura ed efficiente. Questo articolo approfondisce i metodi di autenticazione principali per Codex, esplorando le loro sfumature, le implicazioni di sicurezza e le migliori pratiche per sviluppatori e amministratori.

Sia che tu stia cercando di sfruttare Codex per la prototipazione rapida, integrarlo nelle tue pipeline CI/CD o gestirne la distribuzione all'interno di un ambiente aziendale, padroneggiare il processo di **autenticazione Codex** è il primo passo.

### Scegliere il Metodo di Accesso a Codex: ChatGPT vs. Chiave API

OpenAI Codex offre due distinti percorsi di autenticazione quando si interagisce con i suoi modelli OpenAI sottostanti, ciascuno progettato per diversi casi d'uso e che offre vantaggi unici:

1.  **Accedi con ChatGPT**: Questo metodo collega l'utilizzo di Codex al tuo abbonamento ChatGPT esistente. È l'accesso richiesto per gli ambienti cloud Codex e fornisce l'accesso a funzionalità specifiche come la "modalità veloce", che si basa sui crediti ChatGPT. Quando ti autentichi in questo modo, il tuo utilizzo è governato dalle autorizzazioni del tuo workspace ChatGPT, dal Controllo degli Accessi Basato sui Ruoli (RBAC) e da qualsiasi impostazione di conservazione e residenza di ChatGPT Enterprise che tu abbia in atto. Il processo tipicamente prevede un flusso di accesso basato su browser, che ti reindirizza per completare l'autenticazione prima di restituire un token di accesso al tuo client Codex (app, CLI o estensione IDE).

2.  **Accedi con una Chiave API**: Per gli sviluppatori che richiedono un controllo più granulare sull'utilizzo e la fatturazione, o per l'accesso programmatico, l'accesso con una chiave API è il percorso preferito. Le chiavi API, ottenibili dalla tua [dashboard OpenAI](https://platform.openai.com/api-keys), collegano l'utilizzo di Codex direttamente al tuo account della piattaforma OpenAI. La fatturazione avviene alle tariffe API standard e la gestione dei dati segue le impostazioni di conservazione e condivisione dei dati della tua organizzazione API. Questo metodo è particolarmente consigliato per flussi di lavoro automatizzati, come i processi di Integrazione Continua/Distribuzione Continua (CI/CD), dove l'interazione diretta dell'utente per l'accesso è impraticabile. Tuttavia, le funzionalità dipendenti dai crediti ChatGPT potrebbero non essere disponibili tramite l'autenticazione con chiave API.

È cruciale notare che, mentre la CLI di Codex e l'estensione IDE supportano entrambi i metodi, l'interfaccia cloud di Codex richiede l'accesso tramite ChatGPT.

Ecco un rapido confronto dei due metodi:

| Caratteristica                   | Accedi con ChatGPT                               | Accedi con una Chiave API                                   |
| :------------------------ | :------------------------------------------------- | :-------------------------------------------------------- |
| **Caso d'Uso Primario**      | Uso interattivo, cloud Codex, funzionalità di sottoscrizione | Accesso programmatico, CI/CD, fatturazione basata sull'utilizzo           |
| **Modello di Fatturazione**         | Sottoscrizione ChatGPT / crediti                     | Tariffe API standard della piattaforma OpenAI                        |
| **Governance dei Dati**       | Autorizzazioni workspace ChatGPT, RBAC, impostazioni Enterprise | Impostazioni dati dell'organizzazione API della piattaforma OpenAI            |
| **Funzionalità**              | Accesso alla 'modalità veloce' (crediti ChatGPT)            | Accesso API completo, senza 'modalità veloce' (utilizza prezzi standard)   |
| **Interfacce Supportate**  | App Codex, CLI, Estensione IDE, Cloud Codex         | App Codex, CLI, Estensione IDE (non Cloud Codex)           |
| **Raccomandazione di Sicurezza** | MFA fortemente incoraggiata, obbligatoria per alcuni          | Non esporre mai le chiavi API in ambienti non fidati           |

### Proteggere il tuo Account Cloud Codex con MFA

Dato che Codex interagisce direttamente con la tua codebase, i suoi requisiti di sicurezza spesso superano quelli di altre funzionalità di ChatGPT. L'Autenticazione a più fattori (MFA) è una salvaguardia critica per il tuo account cloud Codex.

Se utilizzi un provider di accesso sociale (ad es. Google, Microsoft, Apple), puoi e dovresti abilitare l'MFA tramite le loro rispettive impostazioni di sicurezza. Per gli utenti che accedono con un'e-mail e una password, la configurazione dell'MFA sul tuo account è obbligatoria prima di poter accedere al cloud Codex. Anche se il tuo account supporta più metodi di accesso, e uno è e-mail/password, l'MFA deve essere configurata.

Gli utenti aziendali che beneficiano del Single Sign-On (SSO) dovrebbero fare affidamento sull'amministratore SSO della loro organizzazione per imporre l'MFA a tutti gli utenti, stabilendo una postura di sicurezza coerente e robusta su tutta la linea. Questa misura proattiva riduce significativamente il rischio di accesso non autorizzato ai tuoi ambienti di sviluppo e alla proprietà intellettuale.

### Gestione della Cache di Accesso e Archiviazione delle Credenziali

Per comodità dell'utente, Codex memorizza nella cache i tuoi dettagli di accesso localmente. Sia che tu acceda con ChatGPT o con una chiave API, l'app Codex, la CLI e l'estensione IDE condividono queste credenziali memorizzate nella cache. Ciò significa che, una volta autenticato, generalmente non dovrai accedere di nuovo per le sessioni successive. Tuttavia, la disconnessione da un'interfaccia invaliderà la sessione condivisa, richiedendo una nuova autenticazione.

Codex memorizza queste credenziali in una delle due posizioni:
*   Un file di testo semplice in `~/.codex/auth.json` (o nella directory `CODEX_HOME`).
*   L'archivio credenziali nativo del tuo sistema operativo.

Puoi configurare dove la CLI di Codex memorizza queste credenziali utilizzando l'impostazione `cli_auth_credentials_store`, scegliendo tra `"file"`, `"keyring"` (per l'archivio credenziali OS) o `"auto"` (che tenta `keyring` per primo, poi ricade su `file`).

**Migliore Pratica di Sicurezza**: Se opti per l'archiviazione basata su file, tratta `~/.codex/auth.json` con la massima cura, in modo simile a una password sensibile. Contiene token di accesso che potrebbero concedere accesso non autorizzato. **Non commettere mai questo file al controllo di versione, non incollarlo in forum pubblici o non condividerlo tramite chat.** Per una maggiore sicurezza, l'utilizzo dell'opzione `keyring` è generalmente consigliato in quanto sfrutta la gestione delle credenziali integrata e più sicura del sistema operativo.

### Gestione Avanzata dell'Autenticazione per le Aziende

Per le organizzazioni che implementano Codex su numerosi team, robusti controlli amministrativi sono essenziali per mantenere sicurezza e conformità. OpenAI fornisce funzionalità per aiutare gli amministratori a imporre metodi di accesso specifici e restrizioni del workspace.

Gli amministratori possono utilizzare impostazioni come `forced_login_method` per imporre l'accesso tramite "chatgpt" o chiave "api" per tutti gli utenti all'interno di un ambiente gestito. Ciò garantisce l'aderenza alle politiche di sicurezza interne o ai modelli di fatturazione. Inoltre, per gli accessi basati su ChatGPT, l'impostazione `forced_chatgpt_workspace_id` consente agli amministratori di limitare gli utenti a un workspace ChatGPT specifico e approvato.

Questi controlli vengono tipicamente applicati tramite [configurazione gestita](/it/managed-configuration) anziché impostazioni utente individuali, garantendo un'applicazione coerente delle politiche. Se le credenziali attive di un utente non sono conformi alle restrizioni configurate, Codex lo disconnetterà automaticamente ed uscirà, mantenendo l'integrità dell'ambiente gestito.

### Accesso da Dispositivi Headless e Bundle CA Personalizzati

Gli sviluppatori spesso lavorano in ambienti diversi, inclusi server remoti o macchine headless dove un'interfaccia grafica basata su browser non è disponibile. Quando si utilizza la CLI di Codex, se l'interfaccia utente standard di accesso basata su browser è problematica (ad es. a causa di ambienti headless o blocchi di rete), OpenAI offre alternative.

L'**autenticazione tramite codice dispositivo** (attualmente in beta) è la soluzione preferita per tali scenari. Dopo aver abilitato questa funzionalità nelle tue impostazioni di sicurezza di ChatGPT (personali o come amministratore del workspace), puoi scegliere "Accedi con Codice Dispositivo" nell'accesso CLI interattivo o eseguire direttamente `codex login --device-auth`. Questo genera un codice che puoi inserire su un dispositivo separato, abilitato al browser, per completare l'accesso, garantendo un accesso sicuro senza un browser locale.

Per le organizzazioni che operano dietro proxy TLS aziendali o che utilizzano Certificate Authorities (CA) radice private, la comunicazione sicura spesso richiede bundle CA personalizzati. Codex lo consente impostando la variabile d'ambiente `CODEX_CA_CERTIFICATE` sul percorso del tuo bundle PEM prima di accedere. Ciò garantisce che tutte le connessioni sicure—incluso l'accesso, le richieste HTTPS e le connessioni WebSocket—si fidino della tua CA aziendale, mantenendo la conformità e la sicurezza in tutta la tua infrastruttura. Puoi trovare maggiori dettagli sulle migliori pratiche generali per la connessione di modelli AI in ambienti sicuri in risorse come la [Guida al Prompting di Codex](/it/codex-prompting-guide).

Comprendendo e implementando correttamente queste funzionalità di autenticazione e sicurezza, sviluppatori e aziende possono integrare con fiducia OpenAI Codex nei loro flussi di lavoro, sfruttandone la potenza pur mantenendo un robusto controllo su accesso e dati.

Fonte originale

https://developers.openai.com/codex/auth/

Domande Frequenti

What are the primary authentication methods for OpenAI Codex, and what are their key differences?
OpenAI Codex offers two main authentication methods: 'Sign in with ChatGPT' and 'Sign in with an API key.' Signing in with ChatGPT grants access based on your existing ChatGPT subscription, applying your workspace permissions, RBAC, and ChatGPT Enterprise data retention/residency settings. This method is required for Codex cloud and provides access to features like 'fast mode' powered by ChatGPT credits. Conversely, signing in with an API key provides usage-based access, billed through your OpenAI Platform account at standard API rates. This method follows your API organization’s data-sharing settings and is recommended for programmatic workflows like CI/CD jobs, offering greater flexibility and granular control over usage. While the CLI and IDE extension support both, Codex cloud exclusively requires ChatGPT sign-in.
Why is Multi-Factor Authentication (MFA) considered crucial for securing a Codex cloud account, and how can users enable it?
Multi-Factor Authentication (MFA) is crucial for securing Codex cloud accounts because Codex interacts directly with sensitive codebase, necessitating robust security measures beyond standard ChatGPT features. MFA adds an essential layer of protection by requiring a second form of verification, significantly reducing the risk of unauthorized access even if a password is compromised. Users can enable MFA via their social login provider (Google, Microsoft, Apple) if they use one. If logging in with email and password, MFA *must* be set up on the account before accessing Codex cloud. Enterprise users accessing via Single Sign-On (SSO) should have MFA enforced by their organization's SSO administrator, ensuring comprehensive security across the development environment.
How does Codex manage and store login credentials, and what are the security best practices for handling them?
Codex caches login details locally, either in a plaintext file at `~/.codex/auth.json` or within your operating system's native credential store. The CLI and IDE extension share these cached credentials for convenience. For sign-in with ChatGPT, active sessions automatically refresh tokens to maintain continuity. Users can control storage location using the `cli_auth_credentials_store` setting, choosing 'file', 'keyring' (OS credential store), or 'auto'. When using file-based storage, it is critical to treat `~/.codex/auth.json` with the same care as a password: never commit it to version control, paste it into public forums, or share it in chat, as it contains sensitive access tokens. The 'keyring' option is generally more secure as it leverages OS-level protection.
What administrative controls are available for managing Codex authentication in managed environments, and how are they applied?
In managed environments, administrators can enforce specific authentication policies for Codex users through configuration settings. The `forced_login_method` parameter can restrict users to either 'chatgpt' or 'api' key login, ensuring compliance with organizational security or billing policies. Additionally, for ChatGPT logins, the `forced_chatgpt_workspace_id` setting allows administrators to restrict users to a particular ChatGPT workspace, enhancing governance and data segregation. These settings are typically applied via managed configuration, rather than individual user setups, ensuring consistent policy enforcement across the enterprise. If a user's active credentials don't match the enforced restrictions, Codex will automatically log them out and exit, maintaining a secure and controlled environment.
What options exist for logging into the Codex CLI on headless devices or in environments where the browser-based UI is problematic?
For scenarios involving headless devices, remote environments, or local networking configurations that block the OAuth callback, Codex offers alternative login methods for its CLI. The preferred method is 'device code authentication' (currently in beta). To use this, users must first enable device code login in their ChatGPT security settings (personal account) or workspace permissions (for administrators). Then, when interacting with the CLI, they can choose 'Sign in with Device Code' from the interactive UI or directly run `codex login --device-auth`. This method provides a code that can be entered on a separate device with a browser, allowing authentication without a local browser UI. If device code authentication is not feasible, fallback methods might involve manual token pasting or configuration adjustments as guided by support.
How does the choice of authentication method (ChatGPT vs. API Key) impact data handling and retention policies in Codex?
The chosen authentication method significantly dictates the data handling and retention policies applied to your Codex usage. When you 'Sign in with ChatGPT,' your Codex activities adhere to the data-handling policies, RBAC (Role-Based Access Control), and enterprise retention and residency settings configured for your ChatGPT workspace. This ensures consistency with your established ChatGPT Enterprise agreement. Conversely, if you 'Sign in with an API key,' your usage follows the data retention and sharing settings established for your OpenAI Platform API organization. This distinction is crucial for organizations requiring specific compliance or data governance frameworks, as it determines how your code interactions and other data generated by Codex are processed and stored by OpenAI.
Can Codex be used with custom CA bundles for secure communication over corporate networks?
Yes, Codex supports the use of custom CA bundles, which is essential for environments operating behind corporate TLS proxies or utilizing private root CAs. To enable this, users need to set the `CODEX_CA_CERTIFICATE` environment variable to the path of their PEM bundle before initiating a login or any other Codex operation. If `CODEX_CA_CERTIFICATE` is not set, Codex will default to using `SSL_CERT_FILE`. This custom CA setting uniformly applies across all secure communication channels, including the login process, standard HTTPS requests, and secure websocket connections, ensuring that all data exchanges comply with the corporate network's security policies and are properly trusted within the organizational infrastructure.

Resta aggiornato

Ricevi le ultime notizie sull'IA nella tua casella.

Condividi