Autenticação do Codex: Protegendo o Acesso à OpenAI para Desenvolvedores

title: "Autenticação do Codex: Protegendo o Acesso à OpenAI para Desenvolvedores" slug: "auth" date: "2026-03-26" lang: "pt" source: "https://developers.openai.com/codex/auth/" category: "Ferramentas de Desenvolvedor" keywords:

OpenAI Codex
autenticação
chave de API
login ChatGPT
Autenticação Multifator
segurança corporativa
armazenamento de credenciais
login sem interface gráfica
ferramentas de desenvolvedor
controle de acesso
segurança de IA
controles administrativos meta_description: "Entenda os métodos de autenticação do OpenAI Codex, incluindo login ChatGPT e chaves de API. Aprenda sobre as melhores práticas de segurança como MFA, armazenamento de credenciais e controles corporativos para um desenvolvimento de IA seguro." image: "/images/articles/auth.png" image_alt: "Processo de autenticação do OpenAI Codex mostrando várias opções de login e medidas de segurança para desenvolvedores." quality_score: 94 content_score: 93 seo_score: 95 companies:
OpenAI schema_type: "NewsArticle" reading_time: 5 faq:
question: "Quais são os principais métodos de autenticação para o OpenAI Codex e quais são suas principais diferenças?" answer: "O OpenAI Codex oferece dois métodos principais de autenticação: 'Entrar com ChatGPT' e 'Entrar com uma chave de API'. Entrar com ChatGPT concede acesso com base na sua assinatura existente do ChatGPT, aplicando suas permissões de workspace, RBAC e configurações de retenção/residência de dados do ChatGPT Enterprise. Este método é exigido para o Codex cloud e fornece acesso a recursos como o 'modo rápido' alimentado por créditos do ChatGPT. Por outro lado, entrar com uma chave de API fornece acesso baseado no uso, faturado através de sua conta da Plataforma OpenAI às taxas de API padrão. Este método segue as configurações de compartilhamento de dados da sua organização de API e é recomendado para fluxos de trabalho programáticos, como trabalhos de CI/CD, oferecendo maior flexibilidade e controle granular sobre o uso. Embora a CLI e a extensão IDE suportem ambos, o Codex cloud exige exclusivamente o login com ChatGPT."
question: "Por que a Autenticação Multifator (MFA) é considerada crucial para proteger uma conta do Codex cloud, e como os usuários podem ativá-la?" answer: "A Autenticação Multifator (MFA) é crucial para proteger as contas do Codex cloud porque o Codex interage diretamente com código-fonte sensível, necessitando de medidas de segurança robustas além dos recursos padrão do ChatGPT. A MFA adiciona uma camada essencial de proteção ao exigir uma segunda forma de verificação, reduzindo significativamente o risco de acesso não autorizado, mesmo que uma senha seja comprometida. Os usuários podem ativar a MFA através de seu provedor de login social (Google, Microsoft, Apple), se utilizarem um. Se estiver fazendo login com e-mail e senha, a MFA deve ser configurada na conta antes de acessar o Codex cloud. Usuários corporativos que acessam via Single Sign-On (SSO) devem ter a MFA imposta pelo administrador de SSO de sua organização, garantindo segurança abrangente em todo o ambiente de desenvolvimento."
question: "Como o Codex gerencia e armazena as credenciais de login, e quais são as melhores práticas de segurança para lidar com elas?" answer: "O Codex armazena detalhes de login localmente, seja em um arquivo de texto simples em ~/.codex/auth.json ou dentro do armazenamento de credenciais nativo do seu sistema operacional. A CLI e a extensão IDE compartilham essas credenciais armazenadas em cache para conveniência. Para login com ChatGPT, as sessões ativas atualizam automaticamente os tokens para manter a continuidade. Os usuários podem controlar o local de armazenamento usando a configuração cli_auth_credentials_store, escolhendo 'file', 'keyring' (armazenamento de credenciais do SO) ou 'auto'. Ao usar o armazenamento baseado em arquivo, é fundamental tratar ~/.codex/auth.json com o mesmo cuidado de uma senha: nunca o faça commit para controle de versão, cole-o em fóruns públicos ou compartilhe-o em chats, pois ele contém tokens de acesso sensíveis. A opção 'keyring' é geralmente mais segura, pois aproveita a proteção em nível de sistema operacional."
question: "Quais controles administrativos estão disponíveis para gerenciar a autenticação do Codex em ambientes gerenciados e como eles são aplicados?" answer: "Em ambientes gerenciados, os administradores podem impor políticas de autenticação específicas para usuários do Codex por meio de configurações. O parâmetro forced_login_method pode restringir os usuários a fazer login com 'chatgpt' ou chave de 'api', garantindo a conformidade com as políticas de segurança ou faturamento da organização. Além disso, para logins com ChatGPT, a configuração forced_chatgpt_workspace_id permite que os administradores restrinjam os usuários a um workspace ChatGPT específico, melhorando a governança e a segregação de dados. Essas configurações são tipicamente aplicadas via configuração gerenciada, em vez de configurações de usuário individuais, garantindo a aplicação consistente da política em toda a empresa. Se as credenciais ativas de um usuário não corresponderem às restrições impostas, o Codex fará automaticamente o logout e encerrará o programa, mantendo um ambiente seguro e controlado."
question: "Quais opções existem para fazer login na CLI do Codex em dispositivos sem interface gráfica ou em ambientes onde a UI baseada em navegador é problemática?" answer: "Para cenários envolvendo dispositivos sem interface gráfica, ambientes remotos ou configurações de rede local que bloqueiam o callback OAuth, o Codex oferece métodos de login alternativos para sua CLI. O método preferido é a 'autenticação de código de dispositivo' (atualmente em beta). Para usá-lo, os usuários devem primeiro ativar o login por código de dispositivo em suas configurações de segurança do ChatGPT (conta pessoal) ou permissões de workspace (para administradores). Então, ao interagir com a CLI, eles podem escolher 'Entrar com Código de Dispositivo' na UI interativa ou executar diretamente codex login --device-auth. Este método fornece um código que pode ser inserido em um dispositivo separado com um navegador, permitindo a autenticação sem uma UI de navegador local. Se a autenticação de código de dispositivo não for viável, os métodos de fallback podem envolver a colagem manual de tokens ou ajustes de configuração conforme orientação do suporte."
question: "Como a escolha do método de autenticação (ChatGPT vs. Chave de API) afeta as políticas de tratamento e retenção de dados no Codex?" answer: "O método de autenticação escolhido dita significativamente as políticas de tratamento e retenção de dados aplicadas ao seu uso do Codex. Quando você 'Entra com ChatGPT', suas atividades no Codex aderem às políticas de tratamento de dados, RBAC (Controle de Acesso Baseado em Função) e configurações de retenção e residência empresariais configuradas para o seu workspace ChatGPT. Isso garante consistência com o seu acordo ChatGPT Enterprise estabelecido. Por outro lado, se você 'Entra com uma chave de API', seu uso segue as configurações de retenção e compartilhamento de dados estabelecidas para a sua organização de API da Plataforma OpenAI. Esta distinção é crucial para organizações que exigem conformidade específica ou frameworks de governança de dados, pois determina como suas interações de código e outros dados gerados pelo Codex são processados e armazenados pela OpenAI."
question: "O Codex pode ser usado com pacotes de CA personalizados para comunicação segura em redes corporativas?" answer: "Sim, o Codex suporta o uso de pacotes de CA personalizados, o que é essencial para ambientes que operam atrás de proxies TLS corporativos ou utilizam CAs raiz privadas. Para ativar isso, os usuários precisam definir a variável de ambiente CODEX_CA_CERTIFICATE para o caminho de seu pacote PEM antes de iniciar um login ou qualquer outra operação do Codex. Se CODEX_CA_CERTIFICATE não for definida, o Codex usará SSL_CERT_FILE por padrão. Esta configuração de CA personalizada se aplica uniformemente a todos os canais de comunicação seguros, incluindo o processo de login, requisições HTTPS padrão e conexões websocket seguras, garantindo que todas as trocas de dados estejam em conformidade com as políticas de segurança da rede corporativa e sejam devidamente confiáveis dentro da infraestrutura organizacional."


## Otimizando a Autenticação do Codex: Um Guia para Desenvolvedores

O Codex da OpenAI, um poderoso modelo de IA para geração e compreensão de código, tornou-se uma ferramenta indispensável para desenvolvedores. À medida que suas capacidades se expandem por várias interfaces — de aplicativos dedicados e extensões de IDE a interfaces de linha de comando (CLI) — entender seus mecanismos de autenticação é fundamental para uma integração de fluxo de trabalho segura e eficiente. Este artigo aprofunda os principais métodos de autenticação para o Codex, explorando suas nuances, implicações de segurança e melhores práticas para desenvolvedores e administradores.

Seja você buscando alavancar o Codex para prototipagem rápida, integrá-lo em seus pipelines de CI/CD ou gerenciar sua implantação em um ambiente corporativo, dominar o processo de **autenticação do Codex** é o primeiro passo.

### Escolhendo Seu Método de Login no Codex: ChatGPT vs. Chave de API

O OpenAI Codex oferece dois caminhos de autenticação distintos ao interagir com seus modelos OpenAI subjacentes, cada um adaptado para diferentes casos de uso e oferecendo benefícios únicos:

1.  **Entrar com ChatGPT**: Este método conecta o uso do seu Codex à sua assinatura existente do ChatGPT. É o login obrigatório para ambientes Codex cloud e fornece acesso a recursos específicos como o "modo rápido", que depende de créditos do ChatGPT. Quando você se autentica dessa forma, seu uso é governado pelas permissões do seu workspace ChatGPT, Controle de Acesso Baseado em Função (RBAC) e quaisquer configurações de retenção e residência do ChatGPT Enterprise que você tenha. O processo tipicamente envolve um fluxo de login baseado em navegador, redirecionando você para completar a autenticação antes de retornar um token de acesso ao seu cliente Codex (aplicativo, CLI ou extensão IDE).

2.  **Entrar com uma Chave de API**: Para desenvolvedores que exigem controle mais granular sobre o uso e o faturamento, ou para acesso programático, o login com uma chave de API é o caminho preferencial. As chaves de API, obtidas em seu [painel da OpenAI](https://platform.openai.com/api-keys), vinculam o uso do seu Codex diretamente à sua conta da Plataforma OpenAI. O faturamento ocorre às taxas de API padrão, e o tratamento de dados segue as configurações de retenção e compartilhamento de dados da sua organização de API. Este método é particularmente recomendado para fluxos de trabalho automatizados, como trabalhos de Integração Contínua/Implantação Contínua (CI/CD), onde a interação direta do usuário para login é impraticável. No entanto, recursos que dependem de créditos do ChatGPT podem não estar disponíveis através da autenticação por chave de API.

É crucial notar que, embora a CLI e a extensão IDE do Codex suportem ambos os métodos, a interface do Codex cloud exige o login com ChatGPT.

Aqui está uma rápida comparação dos dois métodos:

| Recurso                   | Entrar com ChatGPT                               | Entrar com uma Chave de API                               |
| :------------------------ | :------------------------------------------------- | :-------------------------------------------------------- |
| **Caso de Uso Principal** | Uso interativo, Codex cloud, recursos de assinatura | Acesso programático, CI/CD, faturamento baseado em uso    |
| **Modelo de Faturamento** | Assinatura / créditos ChatGPT                     | Taxas de API padrão da Plataforma OpenAI                  |
| **Governança de Dados**   | Permissões de workspace ChatGPT, RBAC, configurações Enterprise | Configurações de dados da organização de API da Plataforma OpenAI |
| **Recursos**              | Acesso ao 'modo rápido' (créditos ChatGPT)          | Acesso total à API, sem 'modo rápido' (usa preços padrão) |
| **Interfaces Suportadas** | Aplicativo Codex, CLI, Extensão IDE, Codex Cloud | Aplicativo Codex, CLI, Extensão IDE (não Codex Cloud)     |
| **Recomendação de Segurança** | MFA altamente encorajado, obrigatório para alguns | Nunca exponha chaves de API em ambientes não confiáveis  |

### Protegendo Sua Conta do Codex Cloud com MFA

Considerando que o Codex interage diretamente com sua base de código, seus requisitos de segurança frequentemente superam os de outros ChatGPT. A Autenticação Multifator (MFA) é uma salvaguarda crítica para sua conta do Codex cloud.

Se você utiliza um provedor de login social (por exemplo, Google, Microsoft, Apple), você pode e deve ativar a MFA através de suas respectivas configurações de segurança. Para usuários que fazem login com e-mail e senha, a configuração da MFA em sua conta é obrigatória antes de você poder acessar o Codex cloud. Mesmo que sua conta suporte múltiplos métodos de login, e um deles seja e-mail/senha, a MFA deve ser configurada.

Usuários corporativos que se beneficiam do Single Sign-On (SSO) devem depender do administrador de SSO de sua organização para impor a MFA a todos os usuários, estabelecendo uma postura de segurança consistente e robusta em toda a empresa. Esta medida proativa reduz significativamente o risco de acesso não autorizado aos seus ambientes de desenvolvimento e propriedade intelectual.

### Gerenciando Cache de Login e Armazenamento de Credenciais

Para a conveniência do usuário, o Codex armazena em cache seus detalhes de login localmente. Seja você fazendo login com ChatGPT ou com uma chave de API, o aplicativo Codex, a CLI e a extensão IDE compartilham essas credenciais armazenadas em cache. Isso significa que, uma vez autenticado, você geralmente não precisará fazer login novamente para sessões subsequentes. No entanto, fazer logout de uma interface invalidará a sessão compartilhada, exigindo uma nova autenticação.

O Codex armazena essas credenciais em um de dois locais:
*   Um arquivo de texto simples em `~/.codex/auth.json` (ou diretório `CODEX_HOME`).
*   O armazenamento de credenciais nativo do seu sistema operacional.

Você pode configurar onde a CLI do Codex armazena essas credenciais usando a configuração `cli_auth_credentials_store`, escolhendo entre `"file"`, `"keyring"` (para armazenamento de credenciais do SO) ou `"auto"` (que tenta `keyring` primeiro, depois recorre a `file`).

**Melhor Prática de Segurança**: Se você optar pelo armazenamento baseado em arquivo, trate `~/.codex/auth.json` com o máximo cuidado, de forma semelhante a uma senha sensível. Ele contém tokens de acesso que podem conceder acesso não autorizado. **Nunca faça commit deste arquivo para controle de versão, cole-o em fóruns públicos ou compartilhe-o via chat.** Para maior segurança, o uso da opção `keyring` é geralmente recomendado, pois aproveita o gerenciamento de credenciais mais seguro e integrado do sistema operacional.

### Gerenciamento Avançado de Autenticação para Empresas

Para organizações que implementam o Codex em diversas equipes, controles administrativos robustos são essenciais para manter a segurança e a conformidade. A OpenAI oferece recursos para ajudar os administradores a impor métodos de login específicos e restrições de workspace.

Os administradores podem usar configurações como `forced_login_method` para exigir o login com "chatgpt" ou chave de "api" para todos os usuários em um ambiente gerenciado. Isso garante a aderência às políticas de segurança internas ou modelos de faturamento. Além disso, para logins baseados em ChatGPT, a configuração `forced_chatgpt_workspace_id` permite que os administradores restrinjam os usuários a um workspace ChatGPT específico e aprovado.

Esses controles são tipicamente aplicados via [configuração gerenciada](/pt/managed-configuration) em vez de configurações de usuário individuais, garantindo a aplicação consistente da política. Se as credenciais ativas de um usuário não estiverem em conformidade com as restrições configuradas, o Codex automaticamente fará o logout e encerrará, mantendo a integridade do ambiente gerenciado.

### Login em Dispositivos Sem Interface Gráfica e Pacotes de CA Personalizados

Os desenvolvedores frequentemente trabalham em ambientes diversos, incluindo servidores remotos ou máquinas sem interface gráfica, onde uma interface gráfica de navegador não está disponível. Ao usar a CLI do Codex, se a UI de login padrão baseada em navegador for problemática (por exemplo, devido a ambientes sem interface gráfica ou bloqueios de rede), a OpenAI oferece alternativas.

A **autenticação por código de dispositivo** (atualmente em beta) é a solução preferencial para tais cenários. Após ativar este recurso nas suas configurações de segurança do ChatGPT (conta pessoal ou administrador de workspace), você pode escolher "Entrar com Código de Dispositivo" no login interativo da CLI ou executar `codex login --device-auth` diretamente. Isso gera um código que você pode inserir em um dispositivo separado, habilitado para navegador, para completar o login, garantindo acesso seguro sem um navegador local.

Para organizações que operam atrás de proxies TLS corporativos ou usam Autoridades Certificadoras (CAs) raiz privadas, a comunicação segura frequentemente requer pacotes de CA personalizados. O Codex acomoda isso permitindo que você defina a variável de ambiente `CODEX_CA_CERTIFICATE` para o caminho do seu pacote PEM antes de fazer login. Isso garante que todas as conexões seguras — incluindo login, requisições HTTPS e conexões WebSocket — confiem na sua CA corporativa, mantendo a conformidade e a segurança em toda a sua infraestrutura. Você pode encontrar mais detalhes sobre as melhores práticas gerais para conectar modelos de IA em ambientes seguros em recursos como o [Guia de Prompting do Codex](/pt/codex-prompting-guide).

Ao entender e implementar corretamente esses recursos de autenticação e segurança, desenvolvedores e empresas podem integrar com confiança o OpenAI Codex em seus fluxos de trabalho, aproveitando seu poder enquanto mantêm um controle robusto sobre acesso e dados.

Fonte original

https://developers.openai.com/codex/auth/

Perguntas Frequentes

What are the primary authentication methods for OpenAI Codex, and what are their key differences?

OpenAI Codex offers two main authentication methods: 'Sign in with ChatGPT' and 'Sign in with an API key.' Signing in with ChatGPT grants access based on your existing ChatGPT subscription, applying your workspace permissions, RBAC, and ChatGPT Enterprise data retention/residency settings. This method is required for Codex cloud and provides access to features like 'fast mode' powered by ChatGPT credits. Conversely, signing in with an API key provides usage-based access, billed through your OpenAI Platform account at standard API rates. This method follows your API organization’s data-sharing settings and is recommended for programmatic workflows like CI/CD jobs, offering greater flexibility and granular control over usage. While the CLI and IDE extension support both, Codex cloud exclusively requires ChatGPT sign-in.

Why is Multi-Factor Authentication (MFA) considered crucial for securing a Codex cloud account, and how can users enable it?

Multi-Factor Authentication (MFA) is crucial for securing Codex cloud accounts because Codex interacts directly with sensitive codebase, necessitating robust security measures beyond standard ChatGPT features. MFA adds an essential layer of protection by requiring a second form of verification, significantly reducing the risk of unauthorized access even if a password is compromised. Users can enable MFA via their social login provider (Google, Microsoft, Apple) if they use one. If logging in with email and password, MFA *must* be set up on the account before accessing Codex cloud. Enterprise users accessing via Single Sign-On (SSO) should have MFA enforced by their organization's SSO administrator, ensuring comprehensive security across the development environment.

How does Codex manage and store login credentials, and what are the security best practices for handling them?

Codex caches login details locally, either in a plaintext file at `~/.codex/auth.json` or within your operating system's native credential store. The CLI and IDE extension share these cached credentials for convenience. For sign-in with ChatGPT, active sessions automatically refresh tokens to maintain continuity. Users can control storage location using the `cli_auth_credentials_store` setting, choosing 'file', 'keyring' (OS credential store), or 'auto'. When using file-based storage, it is critical to treat `~/.codex/auth.json` with the same care as a password: never commit it to version control, paste it into public forums, or share it in chat, as it contains sensitive access tokens. The 'keyring' option is generally more secure as it leverages OS-level protection.

What administrative controls are available for managing Codex authentication in managed environments, and how are they applied?

In managed environments, administrators can enforce specific authentication policies for Codex users through configuration settings. The `forced_login_method` parameter can restrict users to either 'chatgpt' or 'api' key login, ensuring compliance with organizational security or billing policies. Additionally, for ChatGPT logins, the `forced_chatgpt_workspace_id` setting allows administrators to restrict users to a particular ChatGPT workspace, enhancing governance and data segregation. These settings are typically applied via managed configuration, rather than individual user setups, ensuring consistent policy enforcement across the enterprise. If a user's active credentials don't match the enforced restrictions, Codex will automatically log them out and exit, maintaining a secure and controlled environment.

What options exist for logging into the Codex CLI on headless devices or in environments where the browser-based UI is problematic?

For scenarios involving headless devices, remote environments, or local networking configurations that block the OAuth callback, Codex offers alternative login methods for its CLI. The preferred method is 'device code authentication' (currently in beta). To use this, users must first enable device code login in their ChatGPT security settings (personal account) or workspace permissions (for administrators). Then, when interacting with the CLI, they can choose 'Sign in with Device Code' from the interactive UI or directly run `codex login --device-auth`. This method provides a code that can be entered on a separate device with a browser, allowing authentication without a local browser UI. If device code authentication is not feasible, fallback methods might involve manual token pasting or configuration adjustments as guided by support.

How does the choice of authentication method (ChatGPT vs. API Key) impact data handling and retention policies in Codex?

The chosen authentication method significantly dictates the data handling and retention policies applied to your Codex usage. When you 'Sign in with ChatGPT,' your Codex activities adhere to the data-handling policies, RBAC (Role-Based Access Control), and enterprise retention and residency settings configured for your ChatGPT workspace. This ensures consistency with your established ChatGPT Enterprise agreement. Conversely, if you 'Sign in with an API key,' your usage follows the data retention and sharing settings established for your OpenAI Platform API organization. This distinction is crucial for organizations requiring specific compliance or data governance frameworks, as it determines how your code interactions and other data generated by Codex are processed and stored by OpenAI.

Can Codex be used with custom CA bundles for secure communication over corporate networks?

Yes, Codex supports the use of custom CA bundles, which is essential for environments operating behind corporate TLS proxies or utilizing private root CAs. To enable this, users need to set the `CODEX_CA_CERTIFICATE` environment variable to the path of their PEM bundle before initiating a login or any other Codex operation. If `CODEX_CA_CERTIFICATE` is not set, Codex will default to using `SSL_CERT_FILE`. This custom CA setting uniformly applies across all secure communication channels, including the login process, standard HTTPS requests, and secure websocket connections, ensuring that all data exchanges comply with the corporate network's security policies and are properly trusted within the organizational infrastructure.

Fique Atualizado

Receba as últimas novidades de IA no seu e-mail.