跳到主要内容

本文为非官方中文翻译,内容以 OpenAI 官方英文文档为准。
官方来源:https://developers.openai.com/codex/enterprise/admin-setup

管理员设置

为你的 ChatGPT Enterprise 工作区设置 Codex

Codex enterprise admin toggle

本指南适用于希望为其工作区设置 Codex 的 ChatGPT Enterprise 管理员。

请将此页面用作分步上线指南。有关详细的策略、配置、自动化和监控信息,请使用以下链接页面:AuthenticationAgent approvals & securityAccess tokensManaged configurationGovernance

企业级安全与隐私

Codex 支持 ChatGPT Enterprise 的安全功能,包括:

  • 企业数据不用于训练
  • App、CLI 和 IDE 支持零数据保留(代码保留在开发者环境中)
  • 遵循 ChatGPT Enterprise 策略的数据驻留与保留
  • 细粒度的用户访问控制
  • 静态数据加密(AES-256)和传输中加密(TLS 1.2+)
  • 通过 ChatGPT Compliance API 提供审计日志

有关安全控制和运行时保护,请参阅 Agent approvals & security。更多详情请参阅 Zero Data Retention (ZDR)。 有关更广泛的企业安全概览,请参阅 Codex 安全白皮书

前置条件:确定负责人和上线策略

在上线过程中,团队成员可能会支持将 Codex 集成到你的组织中的不同方面。请确保你已确定以下负责人:

  • ChatGPT Enterprise 工作区所有者: 负责在你的工作区中配置 Codex 设置。
  • 安全负责人: 决定 Codex 的 agent 权限设置。
  • 分析负责人: 将分析和合规 API 集成到你的数据管道中。

决定你将使用哪些 Codex 入口:

  • Codex local: 包括 Codex app、CLI 和 IDE 扩展。agent 在开发者的计算机上的沙箱中运行。
  • Codex cloud: 包括托管的 Codex 功能(包括 Codex cloud、iOS、Code Review,以及通过 Slack integrationLinear integration 创建的任务)。agent 在远程托管容器中与你的代码库一起运行。
  • Both: 同时使用 local + cloud。

你可以启用 local、cloud 或两者,并通过工作区设置和基于角色的访问控制(RBAC)来控制访问。

第 1 步:在你的工作区中启用 Codex

你可以在 ChatGPT Enterprise 工作区设置中配置对 Codex 的访问。

前往 Workspace Settings > Settings and Permissions

Codex local

Codex local 对新的 ChatGPT Enterprise 工作区默认启用。如果 你不是 ChatGPT 工作区所有者,可以通过 安装 Codex 并使用你的工作邮箱登录来测试你是否有权访问。

打开 Allow members to use Codex Local

这将为获准用户启用 Codex app、CLI 和 IDE 扩展的使用。

如果成员需要以编程方式使用 Codex local 工作流,还请打开 Allow members to use Codex access tokens,或通过自定义角色授予 access token 权限。有关设置和权限详情,请参阅 Access tokens

如果 Codex Local 开关处于关闭状态,尝试使用 Codex app、CLI 或 IDE 的用户将看到以下错误:“403 - Unauthorized. Contact your ChatGPT administrator for access.”

为 Codex CLI 启用设备代码认证

允许开发者在非交互式环境中使用 Codex CLI 时通过设备代码登录(例如远程开发主机)。更多详情见 authentication

Codex local toggle

Codex cloud

前置条件

Codex cloud 要求使用 GitHub(云托管)仓库。如果你的代码库位于本地部署环境中,或者不在 GitHub 上,你可以使用 Codex SDK 在你自己的基础设施上构建类似工作流。

要以管理员身份设置 Codex,你必须拥有对组织中常用仓库的 GitHub 访问权限。如果你没有所需的访问权限,请与工程团队中拥有该权限的人协作。

在工作区设置中启用 Codex cloud

首先,在 Workspace Settings > Settings and Permissions 的 Codex 部分打开 ChatGPT GitHub Connector。

要为你的工作区启用 Codex cloud,请打开 Allow members to use Codex cloud。启用后,用户可以直接从 ChatGPT 左侧导航面板访问 Codex。

请注意,Codex 出现在 ChatGPT 中最多可能需要 10 分钟。

启用 Codex Slack app 在任务完成时发布答案

任务完成后,Codex 会将其完整答案发布回 Slack。否则,Codex 只会发布任务链接。

要了解更多信息,请参阅 Codex in Slack

允许 Codex agent 访问互联网

默认情况下,Codex cloud agent 在运行时无法访问互联网,以帮助防范 prompt injection 等安全与风险问题。

此设置允许用户为常见软件依赖域名使用 allowlist、添加域名和受信任站点,并指定允许的 HTTP 方法。

有关互联网访问的安全影响和运行时控制,请参阅 Agent approvals & security

Codex cloud toggle

第 2 步:设置自定义角色(RBAC)

使用 RBAC 控制对 Codex local 和 Codex cloud 访问的细粒度权限。

Codex cloud toggle

RBAC 能实现什么

工作区所有者可以在 ChatGPT 管理员设置中使用 RBAC 来:

  • 为未分配任何自定义角色的用户设置默认角色
  • 创建具有细粒度权限的自定义角色
  • 将一个或多个自定义角色分配给群组
  • 通过 SCIM 自动将用户同步到群组中
  • 从 Custom Roles 标签页集中管理角色

用户可以继承多个角色,权限将解析为这些角色中最宽松(限制最少)的访问权限。

创建一个 Codex Admin 群组

设置一个专门的 “Codex Admin” 群组,而不是向大量人员授予 Codex 管理权限。

Allow members to administer Codex 开关授予 Codex Admin 角色。Codex Admin 可以:

  • 查看 Codex 工作区分析
  • 打开 Codex Policies 页面 以管理云托管的 requirements.toml 策略
  • 将这些托管策略分配给用户群组,或配置默认回退策略
  • 管理 Codex cloud 环境,包括编辑和删除环境

将此角色用于少数负责 Codex 上线、策略管理和治理的管理员。普通 Codex 用户不需要此角色。你无需启用 Codex cloud 即可打开此开关。

推荐的上线模式:

  • 为应使用 Codex 的人员创建一个 “Codex Users” 群组
  • 为应管理 Codex 设置和策略的少数人员创建一个单独的 “Codex Admin” 群组
  • 仅将启用了 Allow members to administer Codex 的自定义角色分配给 “Codex Admin” 群组
  • 将 “Codex Admin” 群组成员限制为工作区所有者或指定的平台、IT 和治理运营人员
  • 如果你使用 SCIM,请通过你的身份提供商支持 “Codex Admin” 群组,以便成员变更可审计并集中管理

这种分离方式使你更容易上线 Codex,同时将分析、环境管理和策略部署限制在受信任的管理员范围内。有关 RBAC 设置详情和完整权限模型,请参阅 OpenAI RBAC Help Center 文章

第 3 步:配置 Codex local 要求

Codex Admin 可以从 Codex 的 Policies 页面 部署由管理员强制执行的 requirements.toml 策略。

当你希望在不先分发设备级文件的情况下,对不同群组应用不同的本地 Codex 约束时,请使用此页面。托管策略使用与 Managed configuration 中描述的相同 requirements.toml 格式,因此你可以定义允许的审批策略、沙箱模式、web search 行为、网络访问要求、MCP 服务器 allowlist、功能 pin 以及限制性命令规则。要禁用 Browser Use、应用内浏览器或 Computer Use,请参阅 Pin feature flags

Codex 策略与配置页面

推荐设置:

  1. 先为大多数用户创建一个基线策略,然后仅在需要时创建更严格或更宽松的变体。
  2. 将每个托管策略分配给特定的用户组,并为其他所有人配置一个默认回退策略。
  3. 仔细安排组规则的顺序。如果某个用户匹配多个组特定规则,则以第一个匹配的规则为准。
  4. 将每个策略视为该组的完整配置档案。Codex 不会从后续匹配的组规则中补全缺失字段。

当用户使用 ChatGPT 登录时,这些云端托管策略会应用于 Codex 的本地界面,包括 Codex app、CLI 和 IDE 扩展。

requirements.toml 策略示例

使用云端托管的 requirements.toml 策略,为每个组实施你想要的防护措施。以下片段是可供你调整的示例,并非必需设置。

托管 requirements 策略示例

示例:为标准本地部署限制 Web 搜索、sandbox 模式和审批:

allowed_web_search_modes = ["disabled", "cached"]
allowed_sandbox_modes = ["workspace-write"]
allowed_approval_policies = ["on-request"]

示例:禁用 Browser Use、应用内浏览器和 Computer Use:

[features]
browser_use = false
in_app_browser = false
computer_use = false

示例:定义由管理员拥有的网络要求:

experimental_network.enabled = true
experimental_network.dangerously_allow_all_unix_sockets = true
experimental_network.allow_local_binding = true
experimental_network.allowed_domains = [
  "api.openai.com",
  "*.example.com",
]
experimental_network.denied_domains = [
  "blocked.example.com",
  "*.exfil.example.com",
]

示例:当你希望管理员阻止或设限特定命令时,添加一条限制性命令规则:

[rules]
prefix_rules = [
  { pattern = [{ token = "git" }, { any_of = ["push", "commit"] }], decision = "prompt", justification = "在修改远程历史之前需要审查。" },
]

你可以单独使用任意一个示例,也可以将它们组合到某个组的单一托管策略中。有关精确键名、优先级和更多示例,请参见托管配置Agent approvals & security

检查用户策略

使用工作流末尾的策略查询工具,确认哪个托管策略适用于某个用户。你可以按组检查策略分配,也可以输入用户邮箱进行检查。

按组或用户邮箱查询策略

如果你计划限制本地客户端的登录方式或工作区,请参见Authentication中的管理员托管身份验证限制。

第 4 步:使用 Team Config 标准化本地配置

希望在整个组织中标准化 Codex 的团队,可以使用 Team Config 共享默认值、规则和 skills,而无需在每个本地配置中重复设置。

你可以将 Team Config 设置签入仓库中的 .codex 目录。用户打开该仓库时,Codex 会自动读取 Team Config 设置。

先从流量最高的仓库开始使用 Team Config,这样团队就能在最常使用 Codex 的地方获得一致的行为。

类型路径用途
配置基础config.toml设置 sandbox 模式、审批、模型、推理力度等默认值。
规则rules/控制 Codex 可以在 sandbox 外运行哪些命令。
Skillsskills/让团队可使用共享 skills。

有关位置和优先级,请参见配置基础

第 5 步:配置 Codex 云端使用(如果已启用)

本步骤介绍启用 Codex 云工作区开关后,如何设置仓库和环境。

将 Codex 云端连接到仓库

  1. 前往 Codex 并选择 Get started
  2. 选择 Connect to GitHub 以安装 ChatGPT GitHub Connector(如果你尚未将 GitHub 连接到 ChatGPT)
  3. 安装或连接 ChatGPT GitHub Connector
  4. 为 ChatGPT Connector 选择安装目标(通常是你的主组织)
  5. 允许你想要连接到 Codex 的仓库

对于 GitHub Enterprise Managed Users (EMU),组织所有者必须先为组织安装 Codex GitHub App,用户之后才能在 Codex 云端连接 仓库。

更多信息,请参见云环境

Codex 会为每次操作使用短期有效、最小权限的 GitHub App 安装令牌,并遵循用户现有的 GitHub 仓库权限和分支保护规则。

配置 IP 地址

如果你的 GitHub 组织会控制应用连接时使用的 IP 地址,请确保包含这些出口 IP 范围

这些 IP 范围可能会变化。建议自动检查它们,并根据最新值更新你的允许列表。

使用 Codex 云端启用代码审查

要允许 Codex 在 GitHub 上执行代码审查,请前往 Settings → Code review

你可以在仓库级别配置代码审查。用户也可以为自己的 PR 启用自动审查,并选择 Codex 何时自动触发审查。更多详细信息见GitHub 集成页面

使用概览页面确认你的工作区已启用代码审查,并查看可用的审查控制项。

代码审查设置概览

使用自动审查设置来决定 Codex 是否应自动审查 已连接仓库中的 pull request。

自动代码审查设置

使用审查触发器来控制哪些 pull request 事件 应启动 Codex 审查。

代码审查触发器设置

配置 Codex 安全性

Codex Security 可帮助工程和安全团队在已连接的 GitHub 仓库中发现、确认并修复可能存在的漏洞。

概括来说,Codex Security:

  • 逐个 commit 扫描已连接仓库
  • 对可能的发现进行排序,并在可能时加以确认
  • 展示包含证据、严重性和建议修复方案的结构化发现
  • 允许团队细化仓库威胁模型,以提升优先级排序和审查质量

有关设置、扫描创建、发现审查和威胁模型指导,请参见Codex Security 设置。有关产品概览,请参见Codex Security

还提供了 SlackGitHubLinear 的集成文档。

第 6 步:建立治理与可观测性

Codex 为企业团队提供了了解采用情况和影响的可见性选项。尽早建立治理,这样你的团队就能跟踪采用情况、调查问题并支持合规工作流。

Codex 治理通常使用

  • Analytics Dashboard,用于快速、自助式查看
  • Analytics API,用于程序化报告和商业智能集成
  • Compliance API,用于审计和调查工作流
  • 指定一位采用情况报告负责人
  • 指定一位审计和合规审查负责人
  • 定义审查节奏
  • 明确成功的衡量标准

Analytics API 设置步骤

要设置 Analytics API key:

  1. 以所有者或管理员身份登录 OpenAI API Platform Portal,并选择正确的组织。
  2. 前往 API keys 页面
  3. 创建一个专用于 Codex Analytics 的新 secret key,并为其指定一个描述性名称,例如 Codex Analytics API。
  4. 为你的组织选择合适的 project。如果你只有一个 project,默认 project 即可。
  5. 将 key 权限设置为 Read only,因为此 API 仅检索分析数据。
  6. 复制 key 值并安全存储,因为你只能查看它一次。
  7. 发送邮件至 support@openai.com,请求将该 key 的范围限定为仅 codex.enterprise.analytics.read。等待 OpenAI 确认你的 API key 已获得 Codex Analytics API 访问权限。

Codex analytics key creation

要使用 Analytics API 密钥:

  1. ChatGPT 管理控制台 的 Workspace details 下找到你的 workspace_id
  2. 使用你的 Platform API 密钥调用 https://api.chatgpt.com/v1/analytics/codex 上的 Analytics API,并在路径中包含你的 workspace_id
  3. 选择你要查询的端点:
  • /workspaces/{workspace_id}/usage
  • /workspaces/{workspace_id}/code_reviews
  • /workspaces/{workspace_id}/code_review_responses
  1. 如有需要,使用 start_timeend_time 设置报表日期范围。
  2. 如果响应跨越多页,使用 next_page 获取下一页结果。

获取 workspace usage 的 curl 命令示例:

curl -H "Authorization: Bearer YOUR_PLATFORM_API_KEY" \
  "https://api.chatgpt.com/v1/analytics/codex/workspaces/WORKSPACE_ID/usage"

有关 Analytics API 的更多详细信息,请参阅 Analytics API

Compliance API 设置步骤

要设置 Compliance API 密钥:

  1. 以所有者或管理员身份登录 OpenAI API Platform Portal,并选择正确的组织。
  2. 前往 API keys 页面
  3. 创建一个专用于 Compliance API 的新 secret key,并为你的组织选择合适的项目。如果你只有一个项目,默认项目即可。
  4. 选择 All permissions。
  5. 复制密钥值并安全存储,因为你只能查看一次。
  6. support@openai.com 发送电子邮件,内容包括:
  • API 密钥的后 4 位数字
  • 密钥名称
  • created-by 名称
  • 所需的作用域:readdelete,或两者都需要
  1. 等待 OpenAI 确认你的 API 密钥已获得 Compliance API 访问权限。

要使用 Compliance API 密钥:

  1. ChatGPT 管理控制台 的 Workspace details 下找到你的 workspace_id
  2. 使用位于 https://api.chatgpt.com/v1/ 的 Compliance API
  3. 在 Authorization 请求头中以 Bearer token 形式传递你的 Compliance API 密钥。
  4. 对于与 Codex 相关的合规数据,使用以下端点:
  • /compliance/workspaces/{workspace_id}/logs
  • /compliance/workspaces/{workspace_id}/logs/{log_file_id}
  • /compliance/workspaces/{workspace_id}/codex_tasks
  • /compliance/workspaces/{workspace_id}/codex_environments
  1. 对于大多数 Codex 合规集成,从 logs 端点开始,并请求 Codex 事件类型,例如 CODEX_LOG 或 CODEX_SECURITY_LOG。
  2. 使用 /logs 列出可用的 Codex 合规日志文件,然后使用 /logs/{log_file_id} 下载特定文件。

列出合规日志文件的 curl 命令示例:

curl -L -H "Authorization: Bearer YOUR_COMPLIANCE_API_KEY" \
  "https://api.chatgpt.com/v1/compliance/workspaces/WORKSPACE_ID/logs?event_type=CODEX_LOG&after=2026-03-01T00:00:00Z"

列出 Codex 任务的 curl 命令示例:

curl -H "Authorization: Bearer YOUR_COMPLIANCE_API_KEY" \
  "https://api.chatgpt.com/v1/compliance/workspaces/WORKSPACE_ID/codex_tasks"

有关 Compliance API 的更多详细信息,请参阅 Compliance API

第 7 步:确认并验证设置

需要验证的内容

  • 用户可以登录 Codex local(ChatGPT 或 API 密钥)
  • (如果已启用)用户可以登录 Codex cloud(需要 ChatGPT 登录)
  • MFA 和 SSO 要求与你的企业安全策略一致
  • RBAC 和 workspace 开关产生预期的访问行为
  • 托管配置会应用到用户
  • 管理员可以看到治理数据

有关身份验证选项和企业登录限制,请参阅 Authentication

当你的团队对设置有信心后,就可以将 Codex 推广到更多团队和组织。