Xác thực Codex: Bảo mật quyền truy cập OpenAI cho nhà phát triển

title: "Xác thực Codex: Bảo mật quyền truy cập OpenAI cho nhà phát triển" slug: "auth" date: "2026-03-26" lang: "vi" source: "https://developers.openai.com/codex/auth/" category: "Công cụ nhà phát triển" keywords:

OpenAI Codex
xác thực
khóa API
đăng nhập ChatGPT
xác thực đa yếu tố
bảo mật doanh nghiệp
lưu trữ thông tin xác thực
đăng nhập không giao diện
công cụ nhà phát triển
kiểm soát truy cập
bảo mật AI
kiểm soát quản trị meta_description: "Tìm hiểu các phương pháp xác thực OpenAI Codex, bao gồm đăng nhập ChatGPT và khóa API. Khám phá các phương pháp bảo mật tốt nhất như MFA, lưu trữ thông tin xác thực và kiểm soát doanh nghiệp để phát triển AI an toàn." image: "/images/articles/auth.png" image_alt: "Quy trình xác thực OpenAI Codex hiển thị các tùy chọn đăng nhập và biện pháp bảo mật khác nhau dành cho nhà phát triển." quality_score: 94 content_score: 93 seo_score: 95 companies:
OpenAI schema_type: "NewsArticle" reading_time: 5 faq:
question: "Các phương pháp xác thực chính cho OpenAI Codex là gì, và sự khác biệt chính của chúng là gì?" answer: "OpenAI Codex cung cấp hai phương pháp xác thực chính: 'Đăng nhập bằng ChatGPT' và 'Đăng nhập bằng khóa API'. Đăng nhập bằng ChatGPT cấp quyền truy cập dựa trên gói đăng ký ChatGPT hiện có của bạn, áp dụng các quyền của không gian làm việc, RBAC và cài đặt lưu trữ/cư trú dữ liệu của ChatGPT Enterprise. Phương pháp này là bắt buộc đối với Codex cloud và cung cấp quyền truy cập vào các tính năng như 'chế độ nhanh' được hỗ trợ bởi tín dụng ChatGPT. Ngược lại, đăng nhập bằng khóa API cung cấp quyền truy cập dựa trên mức sử dụng, được thanh toán thông qua tài khoản Nền tảng OpenAI của bạn theo mức giá API tiêu chuẩn. Phương pháp này tuân theo các cài đặt chia sẻ dữ liệu của tổ chức API của bạn và được khuyến nghị cho các quy trình làm việc có lập trình như công việc CI/CD, mang lại sự linh hoạt và kiểm soát chi tiết hơn đối với mức sử dụng. Mặc dù CLI và tiện ích mở rộng IDE hỗ trợ cả hai, Codex cloud độc quyền yêu cầu đăng nhập ChatGPT."
question: "Tại sao Xác thực Đa yếu tố (MFA) được coi là rất quan trọng để bảo mật tài khoản Codex cloud, và làm thế nào người dùng có thể bật nó?" answer: "Xác thực Đa yếu tố (MFA) rất quan trọng để bảo mật tài khoản Codex cloud vì Codex tương tác trực tiếp với codebase nhạy cảm, đòi hỏi các biện pháp bảo mật mạnh mẽ hơn các tính năng ChatGPT tiêu chuẩn. MFA bổ sung một lớp bảo vệ thiết yếu bằng cách yêu cầu một hình thức xác minh thứ hai, giảm đáng kể nguy cơ truy cập trái phép ngay cả khi mật khẩu bị lộ. Người dùng có thể bật MFA thông qua nhà cung cấp đăng nhập xã hội của họ (Google, Microsoft, Apple) nếu họ sử dụng một trong số đó. Nếu đăng nhập bằng email và mật khẩu, MFA phải được thiết lập trên tài khoản trước khi truy cập Codex cloud. Người dùng doanh nghiệp truy cập qua Đăng nhập một lần (SSO) nên có MFA được quản trị viên SSO của tổ chức họ thực thi, đảm bảo bảo mật toàn diện trên toàn môi trường phát triển."
question: "Codex quản lý và lưu trữ thông tin đăng nhập như thế nào, và các phương pháp bảo mật tốt nhất để xử lý chúng là gì?" answer: "Codex lưu trữ thông tin đăng nhập cục bộ, dưới dạng tệp văn bản thuần túy tại ~/.codex/auth.json hoặc trong kho lưu trữ thông tin xác thực gốc của hệ điều hành. CLI và tiện ích mở rộng IDE chia sẻ các thông tin xác thực được lưu trữ này để tiện lợi. Đối với đăng nhập bằng ChatGPT, các phiên hoạt động tự động làm mới token để duy trì tính liên tục. Người dùng có thể kiểm soát vị trí lưu trữ bằng cách sử dụng cài đặt 'cli_auth_credentials_store', chọn 'file', 'keyring' (kho lưu trữ thông tin xác thực OS) hoặc 'auto'. Khi sử dụng bộ nhớ dựa trên tệp, điều quan trọng là phải xử lý ~/.codex/auth.json cẩn thận như một mật khẩu: không bao giờ commit nó vào kiểm soát phiên bản, dán nó vào các diễn đàn công khai hoặc chia sẻ nó trong trò chuyện, vì nó chứa các token truy cập nhạy cảm. Tùy chọn 'keyring' thường an toàn hơn vì nó tận dụng tính năng bảo vệ cấp độ OS."
question: "Những kiểm soát quản trị nào có sẵn để quản lý xác thực Codex trong các môi trường được quản lý, và chúng được áp dụng như thế nào?" answer: "Trong các môi trường được quản lý, quản trị viên có thể thực thi các chính sách xác thực cụ thể cho người dùng Codex thông qua cài đặt cấu hình. Tham số 'forced_login_method' có thể giới hạn người dùng chỉ đăng nhập bằng 'chatgpt' hoặc khóa 'api', đảm bảo tuân thủ các chính sách bảo mật hoặc thanh toán của tổ chức. Ngoài ra, đối với đăng nhập ChatGPT, cài đặt 'forced_chatgpt_workspace_id' cho phép quản trị viên giới hạn người dùng vào một không gian làm việc ChatGPT cụ thể, tăng cường quản trị và phân tách dữ liệu. Các cài đặt này thường được áp dụng thông qua cấu hình được quản lý, chứ không phải thiết lập người dùng riêng lẻ, đảm bảo thực thi chính sách nhất quán trong toàn doanh nghiệp. Nếu thông tin xác thực đang hoạt động của người dùng không khớp với các hạn chế đã được thực thi, Codex sẽ tự động đăng xuất và thoát, duy trì một môi trường an toàn và được kiểm soát."
question: "Những tùy chọn nào tồn tại để đăng nhập vào Codex CLI trên các thiết bị không giao diện hoặc trong các môi trường mà giao diện người dùng dựa trên trình duyệt gặp vấn đề?" answer: "Đối với các kịch bản liên quan đến thiết bị không giao diện, môi trường từ xa hoặc cấu hình mạng cục bộ chặn lệnh gọi lại OAuth, Codex cung cấp các phương pháp đăng nhập thay thế cho CLI của nó. Phương pháp ưu tiên là 'xác thực mã thiết bị' (hiện đang trong giai đoạn beta). Để sử dụng điều này, người dùng phải bật đăng nhập mã thiết bị trong cài đặt bảo mật ChatGPT của họ (tài khoản cá nhân) hoặc quyền không gian làm việc (đối với quản trị viên). Sau đó, khi tương tác với CLI, họ có thể chọn 'Sign in with Device Code' từ giao diện người dùng tương tác hoặc trực tiếp chạy codex login --device-auth. Phương pháp này cung cấp một mã có thể được nhập trên một thiết bị riêng biệt có trình duyệt, cho phép xác thực mà không cần giao diện người dùng trình duyệt cục bộ. Nếu xác thực mã thiết bị không khả thi, các phương pháp dự phòng có thể liên quan đến việc dán token thủ công hoặc điều chỉnh cấu hình theo hướng dẫn hỗ trợ."
question: "Việc lựa chọn phương pháp xác thực (ChatGPT so với Khóa API) ảnh hưởng như thế nào đến việc xử lý dữ liệu và chính sách lưu giữ trong Codex?" answer: "Phương pháp xác thực được chọn ảnh hưởng đáng kể đến các chính sách xử lý và lưu giữ dữ liệu được áp dụng cho việc sử dụng Codex của bạn. Khi bạn 'Đăng nhập bằng ChatGPT', các hoạt động Codex của bạn tuân thủ các chính sách xử lý dữ liệu, RBAC (Kiểm soát truy cập dựa trên vai trò) và các cài đặt lưu giữ và cư trú doanh nghiệp được cấu hình cho không gian làm việc ChatGPT của bạn. Điều này đảm bảo tính nhất quán với thỏa thuận ChatGPT Enterprise đã thiết lập của bạn. Ngược lại, nếu bạn 'Đăng nhập bằng khóa API', việc sử dụng của bạn tuân theo các cài đặt lưu giữ và chia sẻ dữ liệu được thiết lập cho tổ chức API Nền tảng OpenAI của bạn. Sự phân biệt này rất quan trọng đối với các tổ chức yêu cầu các khuôn khổ tuân thủ hoặc quản trị dữ liệu cụ thể, vì nó xác định cách các tương tác mã và dữ liệu khác do Codex tạo ra được OpenAI xử lý và lưu trữ."
question: "Codex có thể được sử dụng với các gói CA tùy chỉnh để giao tiếp an toàn qua mạng công ty không?" answer: "Có, Codex hỗ trợ sử dụng các gói CA tùy chỉnh, điều này rất cần thiết cho các môi trường hoạt động phía sau proxy TLS của công ty hoặc sử dụng CA gốc riêng. Để bật tính năng này, người dùng cần đặt biến môi trường CODEX_CA_CERTIFICATE thành đường dẫn của gói PEM của họ trước khi bắt đầu đăng nhập hoặc bất kỳ hoạt động Codex nào khác. Nếu CODEX_CA_CERTIFICATE không được đặt, Codex sẽ mặc định sử dụng SSL_CERT_FILE. Cài đặt CA tùy chỉnh này được áp dụng thống nhất trên tất cả các kênh giao tiếp an toàn, bao gồm quy trình đăng nhập, các yêu cầu HTTPS tiêu chuẩn và kết nối websocket an toàn, đảm bảo rằng tất cả các trao đổi dữ liệu tuân thủ các chính sách bảo mật của mạng công ty và được tin cậy đúng cách trong cơ sở hạ tầng của tổ chức."

Hợp lý hóa xác thực Codex: Hướng dẫn dành cho nhà phát triển

OpenAI Codex, một mô hình AI mạnh mẽ để tạo và hiểu mã, đã trở thành một công cụ không thể thiếu cho các nhà phát triển. Khi khả năng của nó mở rộng trên nhiều giao diện khác nhau—từ các ứng dụng chuyên dụng và tiện ích mở rộng IDE đến giao diện dòng lệnh (CLI)—việc hiểu các cơ chế xác thực của nó là tối quan trọng để tích hợp quy trình làm việc an toàn và hiệu quả. Bài viết này đi sâu vào các phương pháp xác thực cốt lõi cho Codex, khám phá các sắc thái, ý nghĩa bảo mật và các phương pháp tốt nhất cho nhà phát triển và quản trị viên.

Cho dù bạn đang tìm cách tận dụng Codex để tạo mẫu nhanh, tích hợp nó vào các đường ống CI/CD của mình hay quản lý việc triển khai nó trong môi trường doanh nghiệp, việc nắm vững quy trình xác thực Codex là bước đầu tiên.

Chọn phương pháp đăng nhập Codex của bạn: ChatGPT so với Khóa API

OpenAI Codex cung cấp hai con đường xác thực riêng biệt khi tương tác với các mô hình OpenAI cơ bản của nó, mỗi con đường được điều chỉnh cho các trường hợp sử dụng khác nhau và mang lại những lợi ích độc đáo:

Đăng nhập bằng ChatGPT: Phương pháp này kết nối việc sử dụng Codex của bạn với gói đăng ký ChatGPT hiện có của bạn. Đây là phương pháp đăng nhập bắt buộc đối với các môi trường Codex cloud và cung cấp quyền truy cập vào các tính năng cụ thể như "chế độ nhanh", dựa trên tín dụng ChatGPT. Khi bạn xác thực theo cách này, việc sử dụng của bạn được quản lý bởi các quyền của không gian làm việc ChatGPT, Kiểm soát truy cập dựa trên vai trò (RBAC) và bất kỳ cài đặt lưu giữ và cư trú của ChatGPT Enterprise nào bạn có. Quá trình này thường liên quan đến luồng đăng nhập dựa trên trình duyệt, chuyển hướng bạn đến để hoàn tất xác thực trước khi trả về một mã thông báo truy cập cho ứng dụng khách Codex của bạn (ứng dụng, CLI hoặc tiện ích mở rộng IDE).
Đăng nhập bằng Khóa API: Đối với các nhà phát triển yêu cầu kiểm soát chi tiết hơn đối với mức sử dụng và thanh toán, hoặc để truy cập có lập trình, việc đăng nhập bằng khóa API là tuyến đường ưu tiên. Khóa API, có thể lấy được từ bảng điều khiển OpenAI của bạn, liên kết việc sử dụng Codex của bạn trực tiếp với tài khoản Nền tảng OpenAI của bạn. Việc thanh toán diễn ra theo mức giá API tiêu chuẩn và việc xử lý dữ liệu tuân theo các cài đặt lưu giữ và chia sẻ dữ liệu của tổ chức API của bạn. Phương pháp này đặc biệt được khuyến nghị cho các quy trình làm việc tự động, chẳng hạn như các công việc Tích hợp liên tục/Triển khai liên tục (CI/CD), nơi tương tác trực tiếp của người dùng để đăng nhập là không thực tế. Tuy nhiên, các tính năng phụ thuộc vào tín dụng ChatGPT có thể không khả dụng thông qua xác thực khóa API.

Điều quan trọng cần lưu ý là trong khi Codex CLI và tiện ích mở rộng IDE hỗ trợ cả hai phương pháp, giao diện Codex cloud bắt buộc phải đăng nhập bằng ChatGPT.

Dưới đây là một so sánh nhanh giữa hai phương pháp:

Tính năng	Đăng nhập bằng ChatGPT	Đăng nhập bằng Khóa API
Trường hợp sử dụng chính	Sử dụng tương tác, Codex cloud, tính năng đăng ký	Truy cập có lập trình, CI/CD, thanh toán theo mức sử dụng
Mô hình thanh toán	Gói đăng ký ChatGPT / tín dụng	Giá API Nền tảng OpenAI tiêu chuẩn
Quản trị dữ liệu	Quyền không gian làm việc ChatGPT, RBAC, cài đặt doanh nghiệp	Cài đặt dữ liệu tổ chức API Nền tảng OpenAI
Tính năng	Truy cập 'chế độ nhanh' (tín dụng ChatGPT)	Quyền truy cập API đầy đủ, không có 'chế độ nhanh' (sử dụng giá tiêu chuẩn)
Giao diện được hỗ trợ	Ứng dụng Codex, CLI, Tiện ích mở rộng IDE, Codex Cloud	Ứng dụng Codex, CLI, Tiện ích mở rộng IDE (không phải Codex Cloud)
Khuyến nghị bảo mật	Rất khuyến khích MFA, bắt buộc đối với một số trường hợp	Không bao giờ để lộ khóa API trong môi trường không đáng tin cậy

Bảo mật tài khoản Codex cloud của bạn bằng MFA

Với việc Codex tương tác trực tiếp với codebase của bạn, các yêu cầu bảo mật của nó thường vượt trội hơn các tính năng ChatGPT khác. Xác thực Đa yếu tố (MFA) là một biện pháp bảo vệ quan trọng cho tài khoản Codex cloud của bạn.

Nếu bạn sử dụng nhà cung cấp đăng nhập xã hội (ví dụ: Google, Microsoft, Apple), bạn có thể và nên bật MFA thông qua các cài đặt bảo mật tương ứng của họ. Đối với người dùng đăng nhập bằng email và mật khẩu, việc thiết lập MFA trên tài khoản của bạn là bắt buộc trước khi bạn có thể truy cập Codex cloud. Ngay cả khi tài khoản của bạn hỗ trợ nhiều phương pháp đăng nhập và một trong số đó là email/mật khẩu, MFA phải được cấu hình.

Người dùng doanh nghiệp hưởng lợi từ Đăng nhập một lần (SSO) nên dựa vào quản trị viên SSO của tổ chức họ để thực thi MFA cho tất cả người dùng, thiết lập một tư thế bảo mật nhất quán và mạnh mẽ trên toàn bộ. Biện pháp chủ động này giảm đáng kể nguy cơ truy cập trái phép vào môi trường phát triển và tài sản trí tuệ của bạn.

Quản lý bộ nhớ đệm đăng nhập và lưu trữ thông tin xác thực

Để thuận tiện cho người dùng, Codex lưu trữ thông tin đăng nhập của bạn cục bộ. Cho dù bạn đăng nhập bằng ChatGPT hay khóa API, ứng dụng Codex, CLI và tiện ích mở rộng IDE đều chia sẻ các thông tin xác thực được lưu trữ này. Điều này có nghĩa là một khi đã xác thực, bạn thường không cần phải đăng nhập lại cho các phiên tiếp theo. Tuy nhiên, việc đăng xuất khỏi một giao diện sẽ làm mất hiệu lực phiên được chia sẻ, yêu cầu xác thực lại.

Codex lưu trữ các thông tin xác thực này ở một trong hai vị trí:

Một tệp văn bản thuần túy tại ~/.codex/auth.json (hoặc thư mục CODEX_HOME).
Kho lưu trữ thông tin xác thực gốc của hệ điều hành của bạn.

Bạn có thể cấu hình nơi Codex CLI lưu trữ các thông tin xác thực này bằng cách sử dụng cài đặt cli_auth_credentials_store, chọn giữa "file", "keyring" (cho kho lưu trữ thông tin xác thực OS) hoặc "auto" (cố gắng sử dụng keyring trước, sau đó chuyển sang file).

Thực hành bảo mật tốt nhất: Nếu bạn chọn lưu trữ dựa trên tệp, hãy xử lý ~/.codex/auth.json hết sức cẩn thận, tương tự như một mật khẩu nhạy cảm. Nó chứa các mã thông báo truy cập có thể cấp quyền truy cập trái phép. Không bao giờ commit tệp này vào kiểm soát phiên bản, dán nó vào các diễn đàn công khai hoặc chia sẻ nó qua trò chuyện. Để tăng cường bảo mật, việc sử dụng tùy chọn keyring thường được khuyến nghị vì nó tận dụng khả năng quản lý thông tin xác thực an toàn, tích hợp sẵn của hệ điều hành.

Quản lý xác thực nâng cao cho doanh nghiệp

Đối với các tổ chức triển khai Codex trên nhiều nhóm, các kiểm soát quản trị mạnh mẽ là cần thiết để duy trì bảo mật và tuân thủ. OpenAI cung cấp các tính năng giúp quản trị viên thực thi các phương pháp đăng nhập và hạn chế không gian làm việc cụ thể.

Quản trị viên có thể sử dụng các cài đặt như forced_login_method để bắt buộc tất cả người dùng trong môi trường được quản lý phải đăng nhập bằng "chatgpt" hoặc khóa "api". Điều này đảm bảo tuân thủ các chính sách bảo mật nội bộ hoặc mô hình thanh toán. Hơn nữa, đối với đăng nhập dựa trên ChatGPT, cài đặt forced_chatgpt_workspace_id cho phép quản trị viên giới hạn người dùng vào một không gian làm việc ChatGPT cụ thể, được phê duyệt.

Các kiểm soát này thường được áp dụng thông qua cấu hình được quản lý chứ không phải cài đặt người dùng riêng lẻ, đảm bảo thực thi chính sách nhất quán. Nếu thông tin xác thực đang hoạt động của người dùng không tuân thủ các hạn chế đã cấu hình, Codex sẽ tự động đăng xuất và thoát, duy trì tính toàn vẹn của môi trường được quản lý.

Đăng nhập thiết bị không giao diện và các gói CA tùy chỉnh

Các nhà phát triển thường làm việc trong các môi trường đa dạng, bao gồm máy chủ từ xa hoặc máy không giao diện nơi không có giao diện trình duyệt đồ họa. Khi sử dụng Codex CLI, nếu giao diện người dùng đăng nhập dựa trên trình duyệt tiêu chuẩn gặp vấn đề (ví dụ: do môi trường không giao diện hoặc chặn mạng), OpenAI cung cấp các lựa chọn thay thế.

Xác thực mã thiết bị (hiện đang trong giai đoạn beta) là giải pháp ưu tiên cho các kịch bản như vậy. Sau khi bật tính năng này trong cài đặt bảo mật ChatGPT của bạn (tài khoản cá nhân hoặc quản trị viên không gian làm việc), bạn có thể chọn "Sign in with Device Code" trong giao diện đăng nhập CLI tương tác hoặc chạy trực tiếp codex login --device-auth. Thao tác này tạo ra một mã mà bạn có thể nhập trên một thiết bị riêng biệt, có trình duyệt để hoàn tất đăng nhập, đảm bảo quyền truy cập an toàn mà không cần trình duyệt cục bộ.

Đối với các tổ chức hoạt động phía sau proxy TLS của công ty hoặc sử dụng Cơ quan cấp chứng chỉ (CA) gốc riêng, giao tiếp an toàn thường yêu cầu các gói CA tùy chỉnh. Codex đáp ứng điều này bằng cách cho phép bạn đặt biến môi trường CODEX_CA_CERTIFICATE thành đường dẫn của gói PEM của bạn trước khi đăng nhập. Điều này đảm bảo rằng tất cả các kết nối an toàn—bao gồm đăng nhập, yêu cầu HTTPS và kết nối WebSocket—tin cậy CA của công ty bạn, duy trì sự tuân thủ và bảo mật trên toàn bộ cơ sở hạ tầng của bạn. Bạn có thể tìm thêm chi tiết về các phương pháp hay nhất chung để kết nối các mô hình AI trong môi trường an toàn trong các tài nguyên như Hướng dẫn Tạo lời nhắc Codex.

Bằng cách hiểu và triển khai đúng các tính năng xác thực và bảo mật này, các nhà phát triển và doanh nghiệp có thể tự tin tích hợp OpenAI Codex vào quy trình làm việc của mình, khai thác sức mạnh của nó trong khi vẫn duy trì quyền kiểm soát mạnh mẽ đối với quyền truy cập và dữ liệu.

Nguồn gốc

https://developers.openai.com/codex/auth/

Câu hỏi thường gặp

What are the primary authentication methods for OpenAI Codex, and what are their key differences?

OpenAI Codex offers two main authentication methods: 'Sign in with ChatGPT' and 'Sign in with an API key.' Signing in with ChatGPT grants access based on your existing ChatGPT subscription, applying your workspace permissions, RBAC, and ChatGPT Enterprise data retention/residency settings. This method is required for Codex cloud and provides access to features like 'fast mode' powered by ChatGPT credits. Conversely, signing in with an API key provides usage-based access, billed through your OpenAI Platform account at standard API rates. This method follows your API organization’s data-sharing settings and is recommended for programmatic workflows like CI/CD jobs, offering greater flexibility and granular control over usage. While the CLI and IDE extension support both, Codex cloud exclusively requires ChatGPT sign-in.

Why is Multi-Factor Authentication (MFA) considered crucial for securing a Codex cloud account, and how can users enable it?

Multi-Factor Authentication (MFA) is crucial for securing Codex cloud accounts because Codex interacts directly with sensitive codebase, necessitating robust security measures beyond standard ChatGPT features. MFA adds an essential layer of protection by requiring a second form of verification, significantly reducing the risk of unauthorized access even if a password is compromised. Users can enable MFA via their social login provider (Google, Microsoft, Apple) if they use one. If logging in with email and password, MFA *must* be set up on the account before accessing Codex cloud. Enterprise users accessing via Single Sign-On (SSO) should have MFA enforced by their organization's SSO administrator, ensuring comprehensive security across the development environment.

How does Codex manage and store login credentials, and what are the security best practices for handling them?

Codex caches login details locally, either in a plaintext file at `~/.codex/auth.json` or within your operating system's native credential store. The CLI and IDE extension share these cached credentials for convenience. For sign-in with ChatGPT, active sessions automatically refresh tokens to maintain continuity. Users can control storage location using the `cli_auth_credentials_store` setting, choosing 'file', 'keyring' (OS credential store), or 'auto'. When using file-based storage, it is critical to treat `~/.codex/auth.json` with the same care as a password: never commit it to version control, paste it into public forums, or share it in chat, as it contains sensitive access tokens. The 'keyring' option is generally more secure as it leverages OS-level protection.

What administrative controls are available for managing Codex authentication in managed environments, and how are they applied?

In managed environments, administrators can enforce specific authentication policies for Codex users through configuration settings. The `forced_login_method` parameter can restrict users to either 'chatgpt' or 'api' key login, ensuring compliance with organizational security or billing policies. Additionally, for ChatGPT logins, the `forced_chatgpt_workspace_id` setting allows administrators to restrict users to a particular ChatGPT workspace, enhancing governance and data segregation. These settings are typically applied via managed configuration, rather than individual user setups, ensuring consistent policy enforcement across the enterprise. If a user's active credentials don't match the enforced restrictions, Codex will automatically log them out and exit, maintaining a secure and controlled environment.

What options exist for logging into the Codex CLI on headless devices or in environments where the browser-based UI is problematic?

For scenarios involving headless devices, remote environments, or local networking configurations that block the OAuth callback, Codex offers alternative login methods for its CLI. The preferred method is 'device code authentication' (currently in beta). To use this, users must first enable device code login in their ChatGPT security settings (personal account) or workspace permissions (for administrators). Then, when interacting with the CLI, they can choose 'Sign in with Device Code' from the interactive UI or directly run `codex login --device-auth`. This method provides a code that can be entered on a separate device with a browser, allowing authentication without a local browser UI. If device code authentication is not feasible, fallback methods might involve manual token pasting or configuration adjustments as guided by support.

How does the choice of authentication method (ChatGPT vs. API Key) impact data handling and retention policies in Codex?

The chosen authentication method significantly dictates the data handling and retention policies applied to your Codex usage. When you 'Sign in with ChatGPT,' your Codex activities adhere to the data-handling policies, RBAC (Role-Based Access Control), and enterprise retention and residency settings configured for your ChatGPT workspace. This ensures consistency with your established ChatGPT Enterprise agreement. Conversely, if you 'Sign in with an API key,' your usage follows the data retention and sharing settings established for your OpenAI Platform API organization. This distinction is crucial for organizations requiring specific compliance or data governance frameworks, as it determines how your code interactions and other data generated by Codex are processed and stored by OpenAI.

Can Codex be used with custom CA bundles for secure communication over corporate networks?

Yes, Codex supports the use of custom CA bundles, which is essential for environments operating behind corporate TLS proxies or utilizing private root CAs. To enable this, users need to set the `CODEX_CA_CERTIFICATE` environment variable to the path of their PEM bundle before initiating a login or any other Codex operation. If `CODEX_CA_CERTIFICATE` is not set, Codex will default to using `SSL_CERT_FILE`. This custom CA setting uniformly applies across all secure communication channels, including the login process, standard HTTPS requests, and secure websocket connections, ensuring that all data exchanges comply with the corporate network's security policies and are properly trusted within the organizational infrastructure.

Cập nhật tin tức

Nhận tin tức AI mới nhất qua email.

Chia sẻ