Code Velocity
Инструменты для разработчиков

Аутентификация Codex: Защита доступа к OpenAI для разработчиков

·5 мин чтения·OpenAI·Первоисточник
Поделиться
AfrikaansالعربيةAzərbaycanБългарскиবাংলাCatalàČeštinaDanskDeutschΕλληνικάEnglishEspañolEestiفارسیSuomiFilipinoFrançaisעבריתहिन्दीHrvatskiMagyarBahasa IndonesiaÍslenskaItaliano日本語ქართული한국어LietuviųLatviešuBahasa MelayuNederlandsNorskPolskiPortuguêsRomânăРусскийSlovenčinaSlovenščinaShqipСрпскиSvenskaKiswahiliதமிழ்ไทยTürkçeУкраїнськаاردوTiếng Việt中文
Процесс аутентификации OpenAI Codex, демонстрирующий различные варианты входа и меры безопасности для разработчиков.

title: "Аутентификация Codex: Защита доступа к OpenAI для разработчиков" slug: "auth" date: "2026-03-26" lang: "ru" source: "https://developers.openai.com/codex/auth/" category: "Инструменты для разработчиков" keywords:

  • OpenAI Codex
  • аутентификация
  • ключ API
  • вход в ChatGPT
  • Многофакторная аутентификация
  • корпоративная безопасность
  • хранение учетных данных
  • безголовый вход
  • инструменты разработчика
  • контроль доступа
  • безопасность ИИ
  • административный контроль meta_description: "Изучите методы аутентификации OpenAI Codex, включая вход через ChatGPT и ключи API. Узнайте о лучших практиках безопасности, таких как MFA, хранение учетных данных и корпоративный контроль для безопасной разработки ИИ." image: "/images/articles/auth.png" image_alt: "Процесс аутентификации OpenAI Codex, демонстрирующий различные варианты входа и меры безопасности для разработчиков." quality_score: 94 content_score: 93 seo_score: 95 companies:
  • OpenAI schema_type: "NewsArticle" reading_time: 5 faq:
  • question: "Каковы основные методы аутентификации для OpenAI Codex и в чем их ключевые различия?" answer: "OpenAI Codex предлагает два основных метода аутентификации: 'Вход через ChatGPT' и 'Вход с помощью ключа API'. Вход через ChatGPT предоставляет доступ на основе вашей существующей подписки ChatGPT, применяя разрешения вашего рабочего пространства, RBAC и настройки хранения/резидентности данных ChatGPT Enterprise. Этот метод обязателен для облака Codex и предоставляет доступ к таким функциям, как 'быстрый режим', работающий на кредитах ChatGPT. И наоборот, вход с помощью ключа API обеспечивает доступ на основе использования, оплачиваемый через вашу учетную запись платформы OpenAI по стандартным тарифам API. Этот метод соответствует настройкам обмена данными вашей организации API и рекомендуется для программных рабочих процессов, таких как задания CI/CD, предлагая большую гибкость и детальный контроль над использованием. Хотя CLI и расширение IDE поддерживают оба метода, облако Codex требует исключительно входа через ChatGPT."
  • question: "Почему многофакторная аутентификация (MFA) считается критически важной для защиты учетной записи облака Codex, и как пользователи могут ее включить?" answer: "Многофакторная аутентификация (MFA) имеет решающее значение для защиты учетных записей облака Codex, поскольку Codex напрямую взаимодействует с конфиденциальной кодовой базой, что требует надежных мер безопасности, выходящих за рамки стандартных функций ChatGPT. MFA добавляет важный уровень защиты, требуя второй формы проверки, что значительно снижает риск несанкционированного доступа, даже если пароль был скомпрометирован. Пользователи могут включить MFA через своего поставщика социальной авторизации (Google, Microsoft, Apple), если они его используют. Если вход осуществляется с использованием электронной почты и пароля, MFA должна быть настроена в учетной записи перед доступом к облаку Codex. Корпоративные пользователи, осуществляющие доступ через единый вход (SSO), должны иметь MFA, применяемую администратором SSO их организации, обеспечивая комплексную безопасность во всей среде разработки."
  • question: "Как Codex управляет и хранит учетные данные для входа, и каковы лучшие практики безопасности для работы с ними?" answer: "Codex кэширует данные для входа локально, либо в виде простого текстового файла по адресу ~/.codex/auth.json, либо в собственном хранилище учетных данных вашей операционной системы. CLI и расширение IDE совместно используют эти кэшированные учетные данные для удобства. Для входа через ChatGPT активные сеансы автоматически обновляют токены для поддержания непрерывности. Пользователи могут контролировать место хранения с помощью параметра cli_auth_credentials_store, выбирая 'file', 'keyring' (хранилище учетных данных ОС) или 'auto'. При использовании файлового хранилища крайне важно обращаться с ~/.codex/auth.json с той же осторожностью, что и с паролем: никогда не добавляйте его в систему контроля версий, не вставляйте на публичные форумы и не делитесь им в чате, поскольку он содержит конфиденциальные токены доступа. Опция 'keyring' обычно более безопасна, так как она использует защиту на уровне ОС."
  • question: "Какие административные средства управления доступны для управления аутентификацией Codex в управляемых средах, и как они применяются?" answer: "В управляемых средах администраторы могут применять определенные политики аутентификации для пользователей Codex через параметры конфигурации. Параметр forced_login_method может ограничивать пользователей входом либо через 'chatgpt', либо через ключ 'api', обеспечивая соответствие политикам безопасности или выставления счетов организации. Кроме того, для входов через ChatGPT параметр forced_chatgpt_workspace_id позволяет администраторам ограничивать пользователей определенным рабочим пространством ChatGPT, улучшая управление и разделение данных. Эти настройки обычно применяются через управляемую конфигурацию, а не через индивидуальные настройки пользователя, обеспечивая единообразное применение политики по всему предприятию. Если активные учетные данные пользователя не соответствуют принудительным ограничениям, Codex автоматически выведет его из системы и завершит работу, поддерживая безопасную и контролируемую среду."
  • question: "Какие существуют варианты входа в Codex CLI на безголовых устройствах или в средах, где браузерный пользовательский интерфейс проблематичен?" answer: "Для сценариев, связанных с безголовыми устройствами, удаленными средами или локальными сетевыми конфигурациями, которые блокируют обратный вызов OAuth, Codex предлагает альтернативные методы входа для своего CLI. Предпочтительным методом является 'аутентификация с кодом устройства' (в настоящее время в бета-версии). Для использования этого метода пользователи должны сначала включить вход с кодом устройства в своих настройках безопасности ChatGPT (личная учетная запись) или разрешениях рабочего пространства (для администраторов). Затем, при взаимодействии с CLI, они могут выбрать 'Вход с кодом устройства' из интерактивного пользовательского интерфейса или напрямую выполнить команду codex login --device-auth. Этот метод предоставляет код, который можно ввести на отдельном устройстве с браузером, позволяя аутентификацию без локального браузерного пользовательского интерфейса. Если аутентификация с кодом устройства невозможна, резервные методы могут включать ручную вставку токена или корректировку конфигурации в соответствии с рекомендациями поддержки."
  • question: "Как выбор метода аутентификации (ChatGPT против ключа API) влияет на политики обработки и хранения данных в Codex?" answer: "Выбранный метод аутентификации существенно определяет политики обработки и хранения данных, применяемые к вашему использованию Codex. Когда вы 'Входите через ChatGPT', ваши действия в Codex соответствуют политикам обработки данных, RBAC (контроль доступа на основе ролей) и корпоративным настройкам хранения и резидентности, настроенным для вашего рабочего пространства ChatGPT. Это обеспечивает согласованность с вашим существующим соглашением ChatGPT Enterprise. И наоборот, если вы 'Входите с помощью ключа API', ваше использование соответствует настройкам хранения и обмена данными, установленным для вашей организации OpenAI Platform API. Это различие имеет решающее значение для организаций, требующих конкретных рамок соответствия или управления данными, поскольку оно определяет, как ваши взаимодействия с кодом и другие данные, генерируемые Codex, обрабатываются и хранятся OpenAI."
  • question: "Можно ли использовать Codex с пользовательскими пакетами CA для безопасной связи по корпоративным сетям?" answer: "Да, Codex поддерживает использование пользовательских пакетов CA, что важно для сред, работающих за корпоративными TLS-прокси или использующих частные корневые ЦС. Для этого пользователям необходимо установить переменную среды CODEX_CA_CERTIFICATE на путь к их PEM-пакету перед инициированием входа или любой другой операции Codex. Если CODEX_CA_CERTIFICATE не установлен, Codex по умолчанию будет использовать SSL_CERT_FILE. Этот пользовательский параметр CA единообразно применяется ко всем каналам безопасной связи, включая процесс входа, стандартные запросы HTTPS и безопасные соединения через веб-сокеты, гарантируя, что все обмены данными соответствуют политикам безопасности корпоративной сети и должным образом доверяются в рамках организационной инфраструктуры."

## Оптимизация аутентификации Codex: Руководство для разработчиков

Codex от OpenAI, мощная модель ИИ для генерации и понимания кода, стала незаменимым инструментом для разработчиков. По мере расширения ее возможностей на различных интерфейсах — от специализированных приложений и расширений IDE до интерфейсов командной строки (CLI) — понимание механизмов ее аутентификации имеет первостепенное значение для безопасной и эффективной интеграции рабочего процесса. Эта статья углубляется в основные методы аутентификации для Codex, исследуя их нюансы, последствия для безопасности и лучшие практики для разработчиков и администраторов.

Независимо от того, стремитесь ли вы использовать Codex для быстрого прототипирования, интегрировать его в свои конвейеры CI/CD или управлять его развертыванием в корпоративной среде, освоение процесса **аутентификации Codex** является первым шагом.

### Выбор метода входа в Codex: ChatGPT или ключ API

OpenAI Codex предлагает два различных пути аутентификации при взаимодействии с базовыми моделями OpenAI, каждый из которых адаптирован для разных вариантов использования и предлагает уникальные преимущества:

1.  **Вход через ChatGPT**: Этот метод связывает ваше использование Codex с вашей существующей подпиской ChatGPT. Это обязательный способ входа для облачных сред Codex и предоставляет доступ к определенным функциям, таким как "быстрый режим", который зависит от кредитов ChatGPT. При такой аутентификации ваше использование регулируется разрешениями вашего рабочего пространства ChatGPT, контролем доступа на основе ролей (RBAC) и любыми настройками хранения и резидентности ChatGPT Enterprise, которые у вас есть. Процесс обычно включает поток входа через браузер, перенаправляющий вас для завершения аутентификации перед возвратом токена доступа вашему клиенту Codex (приложению, CLI или расширению IDE).

2.  **Вход с помощью ключа API**: Для разработчиков, которым требуется более детальный контроль над использованием и выставлением счетов, или для программного доступа, вход с помощью ключа API является предпочтительным способом. Ключи API, которые можно получить на [панели управления OpenAI](https://platform.openai.com/api-keys), напрямую связывают ваше использование Codex с вашей учетной записью OpenAI Platform. Выставление счетов происходит по стандартным тарифам API, а обработка данных соответствует настройкам хранения и обмена данными вашей организации API. Этот метод особенно рекомендуется для автоматизированных рабочих процессов, таких как задания непрерывной интеграции/непрерывного развертывания (CI/CD), где прямое взаимодействие пользователя для входа непрактично. Однако функции, зависящие от кредитов ChatGPT, могут быть недоступны при аутентификации с помощью ключа API.

Важно отметить, что хотя Codex CLI и расширение IDE поддерживают оба метода, облачный интерфейс Codex требует входа через ChatGPT.

Вот краткое сравнение двух методов:

| Функция                   | Вход через ChatGPT                               | Вход с помощью ключа API                                |
| :------------------------ | :------------------------------------------------- | :-------------------------------------------------------- |
| **Основной вариант использования**      | Интерактивное использование, облако Codex, функции подписки | Программный доступ, CI/CD, оплата по факту использования |
| **Модель выставления счетов**         | Подписка / кредиты ChatGPT                     | Стандартные тарифы API платформы OpenAI                        |
| **Управление данными**       | Разрешения рабочего пространства ChatGPT, RBAC, настройки Enterprise | Настройки данных организации OpenAI Platform API            |
| **Функции**              | Доступ к 'быстрому режиму' (кредиты ChatGPT)            | Полный доступ к API, без 'быстрого режима' (использует стандартные цены)   |
| **Поддерживаемые интерфейсы**  | Приложение Codex, CLI, расширение IDE, облако Codex         | Приложение Codex, CLI, расширение IDE (не облако Codex)           |
| **Рекомендации по безопасности** | MFA настоятельно рекомендуется, для некоторых принудительно          | Никогда не раскрывайте ключи API в ненадежных средах           |

### Защита вашей учетной записи облака Codex с помощью MFA

Учитывая, что Codex напрямую взаимодействует с вашей кодовой базой, его требования к безопасности часто превосходят требования других функций ChatGPT. Многофакторная аутентификация (MFA) является критически важной защитой для вашей учетной записи облака Codex.

Если вы используете поставщика социальной авторизации (например, Google, Microsoft, Apple), вы можете и должны включить MFA через их соответствующие настройки безопасности. Для пользователей, которые входят с помощью электронной почты и пароля, настройка MFA в вашей учетной записи является обязательной, прежде чем вы сможете получить доступ к облаку Codex. Даже если ваша учетная запись поддерживает несколько методов входа, и одним из них является электронная почта/пароль, MFA должна быть настроена.

Корпоративные пользователи, использующие единый вход (SSO), должны полагаться на администратора SSO своей организации для принудительного использования MFA для всех пользователей, устанавливая последовательный и надежный уровень безопасности по всем направлениям. Эта проактивная мера значительно снижает риск несанкционированного доступа к вашим средам разработки и интеллектуальной собственности.

### Управление кэшированием входа и хранением учетных данных

Для удобства пользователя Codex кэширует ваши данные для входа локально. Независимо от того, входите ли вы через ChatGPT или с помощью ключа API, приложение Codex, CLI и расширение IDE используют эти кэшированные учетные данные. Это означает, что после аутентификации вам, как правило, не потребуется входить снова для последующих сеансов. Однако выход из одного интерфейса аннулирует общий сеанс, требуя повторной аутентификации.

Codex хранит эти учетные данные в одном из двух мест:
*   В виде простого текстового файла по адресу `~/.codex/auth.json` (или в каталоге `CODEX_HOME`).
*   В собственном хранилище учетных данных вашей операционной системы.

Вы можете настроить место хранения этих учетных данных для Codex CLI с помощью параметра `cli_auth_credentials_store`, выбрав между `"file"`, `"keyring"` (для хранилища учетных данных ОС) или `"auto"` (который сначала пытается использовать `keyring`, а затем возвращается к `file`).

**Лучшая практика безопасности**: Если вы выбираете файловое хранилище, обращайтесь с `~/.codex/auth.json` с предельной осторожностью, как с конфиденциальным паролем. Он содержит токены доступа, которые могут предоставить несанкционированный доступ. **Никогда не добавляйте этот файл в систему контроля версий, не вставляйте его на публичные форумы и не делитесь им в чате.** Для повышения безопасности обычно рекомендуется использовать опцию `keyring`, поскольку она использует встроенное, более безопасное управление учетными данными операционной системы.

### Расширенное управление аутентификацией для предприятий

Для организаций, развертывающих Codex во многих командах, надежные административные средства контроля необходимы для поддержания безопасности и соответствия требованиям. OpenAI предоставляет функции, помогающие администраторам применять определенные методы входа и ограничения рабочих пространств.

Администраторы могут использовать такие настройки, как `forced_login_method`, чтобы принудительно использовать вход либо через "chatgpt", либо с помощью ключа "api" для всех пользователей в управляемой среде. Это обеспечивает соблюдение внутренних политик безопасности или моделей выставления счетов. Кроме того, для входов на основе ChatGPT параметр `forced_chatgpt_workspace_id` позволяет администраторам ограничивать пользователей определенным, одобренным рабочим пространством ChatGPT.

Эти элементы управления обычно применяются через [управляемую конфигурацию](/ru/managed-configuration), а не через индивидуальные настройки пользователя, обеспечивая единообразное применение политики. Если активные учетные данные пользователя не соответствуют настроенным ограничениям, Codex автоматически выведет его из системы и завершит работу, поддерживая целостность управляемой среды.

### Вход в систему на безголовых устройствах и пользовательские пакеты CA

Разработчики часто работают в различных средах, включая удаленные серверы или безголовые машины, где графический интерфейс браузера недоступен. При использовании Codex CLI, если стандартный браузерный интерфейс входа проблематичен (например, из-за безголовых сред или сетевых блокировок), OpenAI предлагает альтернативы.

**Аутентификация с кодом устройства** (в настоящее время в бета-версии) является предпочтительным решением для таких сценариев. После включения этой функции в настройках безопасности ChatGPT (личная учетная запись или администратор рабочего пространства) вы можете выбрать "Вход с кодом устройства" в интерактивном входе CLI или напрямую выполнить `codex login --device-auth`. Это генерирует код, который вы можете ввести на отдельном устройстве с поддержкой браузера для завершения входа, обеспечивая безопасный доступ без локального браузера.

Для организаций, работающих за корпоративными TLS-прокси или использующих частные корневые центры сертификации (CA), безопасная связь часто требует пользовательских пакетов CA. Codex учитывает это, позволяя вам установить переменную среды `CODEX_CA_CERTIFICATE` на путь к вашему PEM-пакету перед входом в систему. Это гарантирует, что все безопасные соединения — включая вход, запросы HTTPS и соединения WebSocket — доверяют вашему корпоративному CA, поддерживая соответствие и безопасность в вашей инфраструктуре. Более подробную информацию об общих лучших практиках подключения моделей ИИ в безопасных средах можно найти в таких ресурсах, как [Руководство по запросам Codex](/ru/codex-prompting-guide).

Понимая и правильно реализуя эти функции аутентификации и безопасности, разработчики и предприятия могут уверенно интегрировать OpenAI Codex в свои рабочие процессы, используя его мощь, сохраняя при этом строгий контроль над доступом и данными.

Первоисточник

https://developers.openai.com/codex/auth/

Часто задаваемые вопросы

What are the primary authentication methods for OpenAI Codex, and what are their key differences?
OpenAI Codex offers two main authentication methods: 'Sign in with ChatGPT' and 'Sign in with an API key.' Signing in with ChatGPT grants access based on your existing ChatGPT subscription, applying your workspace permissions, RBAC, and ChatGPT Enterprise data retention/residency settings. This method is required for Codex cloud and provides access to features like 'fast mode' powered by ChatGPT credits. Conversely, signing in with an API key provides usage-based access, billed through your OpenAI Platform account at standard API rates. This method follows your API organization’s data-sharing settings and is recommended for programmatic workflows like CI/CD jobs, offering greater flexibility and granular control over usage. While the CLI and IDE extension support both, Codex cloud exclusively requires ChatGPT sign-in.
Why is Multi-Factor Authentication (MFA) considered crucial for securing a Codex cloud account, and how can users enable it?
Multi-Factor Authentication (MFA) is crucial for securing Codex cloud accounts because Codex interacts directly with sensitive codebase, necessitating robust security measures beyond standard ChatGPT features. MFA adds an essential layer of protection by requiring a second form of verification, significantly reducing the risk of unauthorized access even if a password is compromised. Users can enable MFA via their social login provider (Google, Microsoft, Apple) if they use one. If logging in with email and password, MFA *must* be set up on the account before accessing Codex cloud. Enterprise users accessing via Single Sign-On (SSO) should have MFA enforced by their organization's SSO administrator, ensuring comprehensive security across the development environment.
How does Codex manage and store login credentials, and what are the security best practices for handling them?
Codex caches login details locally, either in a plaintext file at `~/.codex/auth.json` or within your operating system's native credential store. The CLI and IDE extension share these cached credentials for convenience. For sign-in with ChatGPT, active sessions automatically refresh tokens to maintain continuity. Users can control storage location using the `cli_auth_credentials_store` setting, choosing 'file', 'keyring' (OS credential store), or 'auto'. When using file-based storage, it is critical to treat `~/.codex/auth.json` with the same care as a password: never commit it to version control, paste it into public forums, or share it in chat, as it contains sensitive access tokens. The 'keyring' option is generally more secure as it leverages OS-level protection.
What administrative controls are available for managing Codex authentication in managed environments, and how are they applied?
In managed environments, administrators can enforce specific authentication policies for Codex users through configuration settings. The `forced_login_method` parameter can restrict users to either 'chatgpt' or 'api' key login, ensuring compliance with organizational security or billing policies. Additionally, for ChatGPT logins, the `forced_chatgpt_workspace_id` setting allows administrators to restrict users to a particular ChatGPT workspace, enhancing governance and data segregation. These settings are typically applied via managed configuration, rather than individual user setups, ensuring consistent policy enforcement across the enterprise. If a user's active credentials don't match the enforced restrictions, Codex will automatically log them out and exit, maintaining a secure and controlled environment.
What options exist for logging into the Codex CLI on headless devices or in environments where the browser-based UI is problematic?
For scenarios involving headless devices, remote environments, or local networking configurations that block the OAuth callback, Codex offers alternative login methods for its CLI. The preferred method is 'device code authentication' (currently in beta). To use this, users must first enable device code login in their ChatGPT security settings (personal account) or workspace permissions (for administrators). Then, when interacting with the CLI, they can choose 'Sign in with Device Code' from the interactive UI or directly run `codex login --device-auth`. This method provides a code that can be entered on a separate device with a browser, allowing authentication without a local browser UI. If device code authentication is not feasible, fallback methods might involve manual token pasting or configuration adjustments as guided by support.
How does the choice of authentication method (ChatGPT vs. API Key) impact data handling and retention policies in Codex?
The chosen authentication method significantly dictates the data handling and retention policies applied to your Codex usage. When you 'Sign in with ChatGPT,' your Codex activities adhere to the data-handling policies, RBAC (Role-Based Access Control), and enterprise retention and residency settings configured for your ChatGPT workspace. This ensures consistency with your established ChatGPT Enterprise agreement. Conversely, if you 'Sign in with an API key,' your usage follows the data retention and sharing settings established for your OpenAI Platform API organization. This distinction is crucial for organizations requiring specific compliance or data governance frameworks, as it determines how your code interactions and other data generated by Codex are processed and stored by OpenAI.
Can Codex be used with custom CA bundles for secure communication over corporate networks?
Yes, Codex supports the use of custom CA bundles, which is essential for environments operating behind corporate TLS proxies or utilizing private root CAs. To enable this, users need to set the `CODEX_CA_CERTIFICATE` environment variable to the path of their PEM bundle before initiating a login or any other Codex operation. If `CODEX_CA_CERTIFICATE` is not set, Codex will default to using `SSL_CERT_FILE`. This custom CA setting uniformly applies across all secure communication channels, including the login process, standard HTTPS requests, and secure websocket connections, ensuring that all data exchanges comply with the corporate network's security policies and are properly trusted within the organizational infrastructure.

Будьте в курсе

Получайте последние новости ИИ на почту.

Поделиться