Автентифікація Codex: Захист доступу до OpenAI для розробників

title: "Автентифікація Codex: Захист доступу до OpenAI для розробників" slug: "auth" date: "2026-03-26" lang: "uk" source: "https://developers.openai.com/codex/auth/" category: "Інструменти розробника" keywords:

OpenAI Codex
автентифікація
ключ API
вхід ChatGPT
багатофакторна автентифікація
корпоративна безпека
зберігання облікових даних
безголовий вхід
інструменти розробника
контроль доступу
безпека ШІ
адміністративні елементи керування meta_description: "Дізнайтеся про методи автентифікації OpenAI Codex, включаючи вхід ChatGPT та ключі API. Ознайомтеся з найкращими практиками безпеки, такими як MFA, зберігання облікових даних та корпоративні елементи керування для безпечної розробки ШІ." image: "/images/articles/auth.png" image_alt: "Процес автентифікації OpenAI Codex, що показує різні варіанти входу та заходи безпеки для розробників." quality_score: 94 content_score: 93 seo_score: 95 companies:
OpenAI schema_type: "NewsArticle" reading_time: 5 faq:
question: "Які основні методи автентифікації для OpenAI Codex і в чому їхні ключові відмінності?" answer: "OpenAI Codex пропонує два основні методи автентифікації: 'Увійти за допомогою ChatGPT' та 'Увійти за допомогою ключа API'. Вхід за допомогою ChatGPT надає доступ на основі вашої поточної підписки ChatGPT, застосовуючи дозволи вашого робочого простору, RBAC та налаштування збереження/розміщення даних ChatGPT Enterprise. Цей метод є обов'язковим для хмарного Codex і надає доступ до таких функцій, як 'швидкий режим', що працює на кредитах ChatGPT. Навпаки, вхід за допомогою ключа API надає доступ на основі використання, що оплачується через ваш обліковий запис OpenAI Platform за стандартними тарифами API. Цей метод дотримується налаштувань обміну даними вашої API-організації та рекомендується для програмних робочих процесів, таких як завдання CI/CD, пропонуючи більшу гнучкість та гранульований контроль над використанням. Хоча CLI та розширення IDE підтримують обидва методи, хмарний Codex вимагає виключно входу через ChatGPT."
question: "Чому багатофакторна автентифікація (MFA) вважається критично важливою для захисту облікового запису хмарного Codex, і як користувачі можуть її увімкнути?" answer: "Багатофакторна автентифікація (MFA) є критично важливою для захисту облікових записів хмарного Codex, оскільки Codex безпосередньо взаємодіє з конфіденційним кодом, що вимагає надійних заходів безпеки, які виходять за рамки стандартних функцій ChatGPT. MFA додає істотний рівень захисту, вимагаючи другої форми перевірки, що значно знижує ризик несанкціонованого доступу, навіть якщо пароль було скомпрометовано. Користувачі можуть увімкнути MFA через свого провайдера соціального входу (Google, Microsoft, Apple), якщо вони його використовують. Якщо вхід здійснюється за допомогою електронної пошти та пароля, MFA обов'язково повинна бути налаштована на обліковому записі до доступу до хмарного Codex. Корпоративні користувачі, які отримують доступ через Single Sign-On (SSO), повинні мати MFA, забезпечену адміністратором SSO їхньої організації, що гарантує всебічну безпеку в усьому середовищі розробки."
question: "Як Codex керує та зберігає облікові дані для входу, і які найкращі практики безпеки для роботи з ними?" answer: "Codex кешує дані для входу локально, або у звичайному текстовому файлі за адресою ~/.codex/auth.json, або в нативному сховищі облікових даних вашої операційної системи. CLI та розширення IDE спільно використовують ці кешовані облікові дані для зручності. Для входу за допомогою ChatGPT активні сесії автоматично оновлюють токени для підтримки безперервності. Користувачі можуть контролювати місце зберігання за допомогою параметра cli_auth_credentials_store, вибираючи 'file', 'keyring' (сховище облікових даних ОС) або 'auto'. При використанні файлового сховища надзвичайно важливо ставитися до ~/.codex/auth.json з такою ж обережністю, як до пароля: ніколи не фіксуйте його в системі контролю версій, не вставляйте на публічні форуми та не діліться в чаті, оскільки він містить конфіденційні токени доступу. Опція 'keyring' загалом є більш безпечною, оскільки вона використовує захист на рівні ОС."
question: "Які адміністративні елементи керування доступні для управління автентифікацією Codex в керованих середовищах, і як вони застосовуються?" answer: "У керованих середовищах адміністратори можуть застосовувати конкретні політики автентифікації для користувачів Codex через налаштування конфігурації. Параметр forced_login_method може обмежувати користувачів входом 'chatgpt' або ключем 'api', забезпечуючи відповідність організаційним політикам безпеки або виставлення рахунків. Крім того, для входів ChatGPT налаштування forced_chatgpt_workspace_id дозволяє адміністраторам обмежувати користувачів певним робочим простором ChatGPT, підвищуючи керованість та розділення даних. Ці налаштування зазвичай застосовуються через керовану конфігурацію, а не через індивідуальні налаштування користувачів, що забезпечує послідовне застосування політики в масштабах підприємства. Якщо активні облікові дані користувача не відповідають примусовим обмеженням, Codex автоматично вийде з системи та завершить роботу, підтримуючи безпечне та контрольоване середовище."
question: "Які існують варіанти входу в CLI Codex на безголових пристроях або в середовищах, де інтерфейс на основі браузера є проблематичним?" answer: "Для сценаріїв, що включають безголові пристрої, віддалені середовища або локальні мережеві конфігурації, які блокують зворотний виклик OAuth, Codex пропонує альтернативні методи входу для свого CLI. Переважним методом є 'автентифікація за кодом пристрою' (наразі в бета-версії). Щоб використовувати це, користувачі повинні спочатку увімкнути вхід за кодом пристрою в налаштуваннях безпеки ChatGPT (особистий обліковий запис) або дозволах робочого простору (для адміністраторів). Потім, взаємодіючи з CLI, вони можуть вибрати 'Увійти за допомогою коду пристрою' з інтерактивного інтерфейсу або безпосередньо виконати codex login --device-auth. Цей метод надає код, який можна ввести на окремому пристрої з браузером, дозволяючи автентифікацію без локального інтерфейсу браузера. Якщо автентифікація за кодом пристрою неможлива, резервні методи можуть включати ручне вставлення токенів або налаштування конфігурації відповідно до інструкцій підтримки."
question: "Як вибір методу автентифікації (ChatGPT проти ключа API) впливає на політику обробки та зберігання даних у Codex?" answer: "Вибраний метод автентифікації значно визначає політику обробки та зберігання даних, що застосовується до використання вами Codex. Коли ви 'Увійти за допомогою ChatGPT', ваша діяльність у Codex відповідає політиці обробки даних, RBAC (контроль доступу на основі ролей) та налаштуванням корпоративного збереження та розміщення, конфігурованим для вашого робочого простору ChatGPT. Це забезпечує відповідність вашій встановленій угоді ChatGPT Enterprise. Навпаки, якщо ви 'Увійти за допомогою ключа API', ваше використання дотримується налаштувань збереження та обміну даними, встановлених для вашої організації OpenAI Platform API. Ця відмінність є критичною для організацій, які вимагають конкретних рамок відповідності або управління даними, оскільки вона визначає, як ваші взаємодії з кодом та інші дані, згенеровані Codex, обробляються та зберігаються OpenAI."
question: "Чи можна використовувати Codex з користувацькими пакетами CA для безпечного зв'язку через корпоративні мережі?" answer: "Так, Codex підтримує використання користувацьких пакетів CA, що є важливим для середовищ, що працюють за корпоративними TLS-проксі або використовують приватні кореневі CA. Щоб увімкнути це, користувачі повинні встановити змінну середовища CODEX_CA_CERTIFICATE на шлях до свого PEM-пакету перед початком входу або будь-якої іншої операції Codex. Якщо CODEX_CA_CERTIFICATE не встановлено, Codex за замовчуванням використовуватиме SSL_CERT_FILE. Це користувацьке налаштування CA рівномірно застосовується до всіх каналів безпечного зв'язку, включаючи процес входу, стандартні HTTPS-запити та безпечні з'єднання websocket, забезпечуючи, щоб всі обміни даними відповідали політикам безпеки корпоративної мережі та були належним чином довірені в рамках організаційної інфраструктури."

Оптимізація автентифікації Codex: Посібник для розробників

Codex від OpenAI, потужна модель ШІ для генерації та розуміння коду, стала незамінним інструментом для розробників. Оскільки її можливості розширюються на різні інтерфейси — від спеціалізованих додатків та розширень IDE до інтерфейсів командного рядка (CLI) — розуміння її механізмів автентифікації є першочерговим для безпечної та ефективної інтеграції робочого процесу. Ця стаття заглиблюється в основні методи автентифікації для Codex, досліджуючи їхні нюанси, наслідки для безпеки та найкращі практики для розробників та адміністраторів.

Незалежно від того, чи прагнете ви використовувати Codex для швидкого прототипування, інтегрувати його у свої CI/CD конвеєри або керувати його розгортанням у корпоративному середовищі, оволодіння процесом автентифікації Codex є першим кроком.

Вибір методу входу в Codex: ChatGPT проти ключа API

OpenAI Codex пропонує два різні шляхи автентифікації під час взаємодії з його основними моделями OpenAI, кожен з яких адаптований для різних випадків використання та пропонує унікальні переваги:

Увійти за допомогою ChatGPT: Цей метод пов'язує ваше використання Codex з вашою поточною підпискою ChatGPT. Це обов'язковий вхід для хмарних середовищ Codex і надає доступ до певних функцій, таких як "швидкий режим", який покладається на кредити ChatGPT. Коли ви автентифікуєтеся таким чином, ваше використання регулюється дозволами вашого робочого простору ChatGPT, контролем доступу на основі ролей (RBAC) та будь-якими налаштуваннями збереження та розміщення даних ChatGPT Enterprise, які у вас є. Процес зазвичай включає потік входу на основі браузера, перенаправляючи вас для завершення автентифікації перед поверненням токена доступу до вашого клієнта Codex (додатку, CLI або розширення IDE).
Увійти за допомогою ключа API: Для розробників, яким потрібен більш детальний контроль над використанням та виставленням рахунків, або для програмного доступу, вхід за допомогою ключа API є кращим варіантом. Ключі API, які можна отримати на вашій панелі керування OpenAI, пов'язують ваше використання Codex безпосередньо з вашим обліковим записом OpenAI Platform. Списання коштів відбувається за стандартними тарифами API, а обробка даних відповідає налаштуванням збереження та обміну даними вашої API-організації. Цей метод особливо рекомендується для автоматизованих робочих процесів, таких як завдання безперервної інтеграції/безперервного розгортання (CI/CD), де пряма взаємодія користувача для входу є непрактичною. Однак функції, що залежать від кредитів ChatGPT, можуть бути недоступні через автентифікацію за ключем API.

Важливо зазначити, що хоча CLI Codex та розширення IDE підтримують обидва методи, інтерфейс хмарного Codex вимагає входу за допомогою ChatGPT.

Ось швидке порівняння двох методів:

Функція	Увійти за допомогою ChatGPT	Увійти за допомогою ключа API
Основний випадок використання	Інтерактивне використання, хмарний Codex, функції підписки	Програмний доступ, CI/CD, оплата за використання
Модель виставлення рахунків	Підписка / кредити ChatGPT	Стандартні тарифи API платформи OpenAI
Управління даними	Дозволи робочого простору ChatGPT, RBAC, корпоративні налаштування	Налаштування даних організації OpenAI Platform API
Функції	Доступ до 'швидкого режиму' (кредити ChatGPT)	Повний доступ до API, без 'швидкого режиму' (використовує стандартні ціни)
Підтримувані інтерфейси	Додаток Codex, CLI, розширення IDE, хмарний Codex	Додаток Codex, CLI, розширення IDE (не хмарний Codex)
Рекомендації з безпеки	MFA настійно рекомендується, для деяких обов'язкова	Ніколи не розкривайте ключі API в ненадійних середовищах

Захист облікового запису хмарного Codex за допомогою MFA

Враховуючи, що Codex безпосередньо взаємодіє з вашою кодовою базою, його вимоги до безпеки часто перевершують вимоги інших функцій ChatGPT. Багатофакторна автентифікація (MFA) є критично важливим засобом захисту для вашого облікового запису хмарного Codex.

Якщо ви використовуєте провайдера соціального входу (наприклад, Google, Microsoft, Apple), ви можете і повинні увімкнути MFA через їхні відповідні налаштування безпеки. Для користувачів, які входять за допомогою електронної пошти та пароля, налаштування MFA на вашому обліковому записі є обов'язковим, перш ніж ви зможете отримати доступ до хмарного Codex. Навіть якщо ваш обліковий запис підтримує кілька методів входу, і один з них — електронна пошта/пароль, MFA має бути налаштована.

Корпоративні користувачі, які користуються єдиним входом (SSO), повинні покладатися на адміністратора SSO своєї організації, щоб забезпечити примусове використання MFA для всіх користувачів, встановлюючи послідовну та надійну позицію безпеки в усьому. Цей проактивний захід значно зменшує ризик несанкціонованого доступу до ваших середовищ розробки та інтелектуальної власності.

Керування кешуванням входу та зберіганням облікових даних

Для зручності користувачів Codex кешує ваші дані для входу локально. Незалежно від того, чи входите ви за допомогою ChatGPT або ключа API, додаток Codex, CLI та розширення IDE спільно використовують ці кешовані облікові дані. Це означає, що після автентифікації вам, як правило, не потрібно буде входити знову для подальших сесій. Однак вихід з одного інтерфейсу призведе до анулювання спільної сесії, вимагаючи повторної автентифікації.

Codex зберігає ці облікові дані в одному з двох місць:

У звичайному текстовому файлі за адресою ~/.codex/auth.json (або каталозі CODEX_HOME).
У нативному сховищі облікових даних вашої операційної системи.

Ви можете налаштувати, де CLI Codex зберігає ці облікові дані, використовуючи параметр cli_auth_credentials_store, вибираючи між "file", "keyring" (для сховища облікових даних ОС) або "auto" (який спочатку намагається використати keyring, а потім повертається до file).

Найкраща практика безпеки: Якщо ви вибираєте зберігання на основі файлів, ставтеся до ~/.codex/auth.json з надзвичайною обережністю, подібно до конфіденційного пароля. Він містить токени доступу, які можуть надати несанкціонований доступ. Ніколи не фіксуйте цей файл у системі контролю версій, не вставляйте його на публічні форуми та не діліться ним через чат. Для підвищеної безпеки, як правило, рекомендується використовувати опцію keyring, оскільки вона використовує вбудоване, більш безпечне керування обліковими даними операційної системи.

Розширене керування автентифікацією для підприємств

Для організацій, які розгортають Codex у численних командах, надійні адміністративні елементи керування є необхідними для підтримки безпеки та відповідності. OpenAI надає функції, які допомагають адміністраторам застосовувати конкретні методи входу та обмеження робочого простору.

Адміністратори можуть використовувати такі налаштування, як forced_login_method, щоб зобов'язати вхід "chatgpt" або ключем "api" для всіх користувачів у керованому середовищі. Це забезпечує дотримання внутрішніх політик безпеки або моделей виставлення рахунків. Крім того, для входів на основі ChatGPT налаштування forced_chatgpt_workspace_id дозволяє адміністраторам обмежувати користувачів певним, затвердженим робочим простором ChatGPT.

Ці елементи керування зазвичай застосовуються через керовану конфігурацію, а не через індивідуальні налаштування користувачів, забезпечуючи послідовне застосування політики. Якщо активні облікові дані користувача не відповідають налаштованим обмеженням, Codex автоматично вийде з системи та завершить роботу, підтримуючи цілісність керованого середовища.

Вхід на безголовий пристрій та користувацькі пакети CA

Розробники часто працюють у різноманітних середовищах, включаючи віддалені сервери або безголові машини, де графічний інтерфейс браузера недоступний. При використанні CLI Codex, якщо стандартний інтерфейс входу на основі браузера є проблематичним (наприклад, через безголові середовища або мережеві блокування), OpenAI пропонує альтернативи.

Автентифікація за кодом пристрою (наразі в бета-версії) є кращим рішенням для таких сценаріїв. Після увімкнення цієї функції в налаштуваннях безпеки ChatGPT (особистий обліковий запис або адміністратор робочого простору), ви можете вибрати "Увійти за допомогою коду пристрою" в інтерактивному інтерфейсі входу CLI або безпосередньо виконати codex login --device-auth. Це генерує код, який ви можете ввести на окремому пристрої з браузером, забезпечуючи безпечний доступ без локального браузера.

Для організацій, що працюють за корпоративними TLS-проксі або використовують приватні кореневі центри сертифікації (CA), безпечний зв'язок часто вимагає користувацьких пакетів CA. Codex враховує це, дозволяючи вам встановити змінну середовища CODEX_CA_CERTIFICATE на шлях до вашого PEM-пакету перед входом. Це забезпечує, що всі безпечні з'єднання — включаючи вхід, запити HTTPS та з'єднання WebSocket — довіряють вашому корпоративному CA, підтримуючи відповідність та безпеку у вашій інфраструктурі. Ви можете знайти більше деталей про загальні найкращі практики підключення моделей ШІ в безпечних середовищах у таких ресурсах, як Посібник з підказок Codex.

Розуміючи та правильно впроваджуючи ці функції автентифікації та безпеки, розробники та підприємства можуть впевнено інтегрувати OpenAI Codex у свої робочі процеси, використовуючи його потужність, зберігаючи при цьому надійний контроль над доступом та даними.

Першоджерело

https://developers.openai.com/codex/auth/

Поширені запитання

What are the primary authentication methods for OpenAI Codex, and what are their key differences?

OpenAI Codex offers two main authentication methods: 'Sign in with ChatGPT' and 'Sign in with an API key.' Signing in with ChatGPT grants access based on your existing ChatGPT subscription, applying your workspace permissions, RBAC, and ChatGPT Enterprise data retention/residency settings. This method is required for Codex cloud and provides access to features like 'fast mode' powered by ChatGPT credits. Conversely, signing in with an API key provides usage-based access, billed through your OpenAI Platform account at standard API rates. This method follows your API organization’s data-sharing settings and is recommended for programmatic workflows like CI/CD jobs, offering greater flexibility and granular control over usage. While the CLI and IDE extension support both, Codex cloud exclusively requires ChatGPT sign-in.

Why is Multi-Factor Authentication (MFA) considered crucial for securing a Codex cloud account, and how can users enable it?

Multi-Factor Authentication (MFA) is crucial for securing Codex cloud accounts because Codex interacts directly with sensitive codebase, necessitating robust security measures beyond standard ChatGPT features. MFA adds an essential layer of protection by requiring a second form of verification, significantly reducing the risk of unauthorized access even if a password is compromised. Users can enable MFA via their social login provider (Google, Microsoft, Apple) if they use one. If logging in with email and password, MFA *must* be set up on the account before accessing Codex cloud. Enterprise users accessing via Single Sign-On (SSO) should have MFA enforced by their organization's SSO administrator, ensuring comprehensive security across the development environment.

How does Codex manage and store login credentials, and what are the security best practices for handling them?

Codex caches login details locally, either in a plaintext file at `~/.codex/auth.json` or within your operating system's native credential store. The CLI and IDE extension share these cached credentials for convenience. For sign-in with ChatGPT, active sessions automatically refresh tokens to maintain continuity. Users can control storage location using the `cli_auth_credentials_store` setting, choosing 'file', 'keyring' (OS credential store), or 'auto'. When using file-based storage, it is critical to treat `~/.codex/auth.json` with the same care as a password: never commit it to version control, paste it into public forums, or share it in chat, as it contains sensitive access tokens. The 'keyring' option is generally more secure as it leverages OS-level protection.

What administrative controls are available for managing Codex authentication in managed environments, and how are they applied?

In managed environments, administrators can enforce specific authentication policies for Codex users through configuration settings. The `forced_login_method` parameter can restrict users to either 'chatgpt' or 'api' key login, ensuring compliance with organizational security or billing policies. Additionally, for ChatGPT logins, the `forced_chatgpt_workspace_id` setting allows administrators to restrict users to a particular ChatGPT workspace, enhancing governance and data segregation. These settings are typically applied via managed configuration, rather than individual user setups, ensuring consistent policy enforcement across the enterprise. If a user's active credentials don't match the enforced restrictions, Codex will automatically log them out and exit, maintaining a secure and controlled environment.

What options exist for logging into the Codex CLI on headless devices or in environments where the browser-based UI is problematic?

For scenarios involving headless devices, remote environments, or local networking configurations that block the OAuth callback, Codex offers alternative login methods for its CLI. The preferred method is 'device code authentication' (currently in beta). To use this, users must first enable device code login in their ChatGPT security settings (personal account) or workspace permissions (for administrators). Then, when interacting with the CLI, they can choose 'Sign in with Device Code' from the interactive UI or directly run `codex login --device-auth`. This method provides a code that can be entered on a separate device with a browser, allowing authentication without a local browser UI. If device code authentication is not feasible, fallback methods might involve manual token pasting or configuration adjustments as guided by support.

How does the choice of authentication method (ChatGPT vs. API Key) impact data handling and retention policies in Codex?

The chosen authentication method significantly dictates the data handling and retention policies applied to your Codex usage. When you 'Sign in with ChatGPT,' your Codex activities adhere to the data-handling policies, RBAC (Role-Based Access Control), and enterprise retention and residency settings configured for your ChatGPT workspace. This ensures consistency with your established ChatGPT Enterprise agreement. Conversely, if you 'Sign in with an API key,' your usage follows the data retention and sharing settings established for your OpenAI Platform API organization. This distinction is crucial for organizations requiring specific compliance or data governance frameworks, as it determines how your code interactions and other data generated by Codex are processed and stored by OpenAI.

Can Codex be used with custom CA bundles for secure communication over corporate networks?

Yes, Codex supports the use of custom CA bundles, which is essential for environments operating behind corporate TLS proxies or utilizing private root CAs. To enable this, users need to set the `CODEX_CA_CERTIFICATE` environment variable to the path of their PEM bundle before initiating a login or any other Codex operation. If `CODEX_CA_CERTIFICATE` is not set, Codex will default to using `SSL_CERT_FILE`. This custom CA setting uniformly applies across all secure communication channels, including the login process, standard HTTPS requests, and secure websocket connections, ensuring that all data exchanges comply with the corporate network's security policies and are properly trusted within the organizational infrastructure.

Будьте в курсі

Отримуйте найсвіжіші новини ШІ на пошту.

Поділитися