古法编程

Appearance

本文面向 ChatGPT Enterprise 工作区管理员,覆盖从零开始部署 Codex 的完整 7 步流程:开启工作区访问(Local/Cloud)、RBAC 权限配置、下发 requirements.toml 策略、标准化 Team Config、接入 GitHub 仓库、配置代码审查与安全扫描,以及搭建 Analytics/Compliance API 治理体系。

Codex Enterprise 管理员配置指南

本指南面向 ChatGPT Enterprise 管理员。详细的策略、配置和监控说明参见相关专题页:身份认证Agent 审批与沙箱安全受管配置治理与观测

企业级安全与隐私

Codex 支持 ChatGPT Enterprise 安全特性,包括:

  • 不用企业数据训练模型
  • App、CLI 和 IDE 零数据保留(代码留在开发者本地环境)
  • 数据驻留和保留遵循 ChatGPT Enterprise 策略
  • 细粒度用户访问控制
  • 静态数据 AES-256 加密 + 传输 TLS 1.2+ 加密
  • 通过 ChatGPT Compliance API 进行审计日志

前置条件:确定负责人和上线策略

上线过程中,团队成员需要覆盖以下职责:

  • ChatGPT Enterprise 工作区所有者:在工作区配置 Codex 设置(必须)
  • 安全负责人:决定 Codex 的 Agent 权限设置
  • 分析负责人:将 Analytics/Compliance API 接入数据管道

确定要使用的 Codex 形态:

  • Codex Local:Codex App、CLI、IDE 扩展。Agent 运行在开发者电脑的沙箱中
  • Codex Cloud:托管版 Codex(云端任务、iOS、Code Review、Slack/Linear 触发的任务)。Agent 运行在托管容器中
  • 两者都用:Local + Cloud 组合使用

第一步:在工作区开启 Codex

前往 工作区设置 → Settings and Permissions

Codex Local

对新 ChatGPT Enterprise 工作区默认开启。开启 Allow members to use Codex Local 开关。

关闭时,用户尝试使用 Codex App、CLI 或 IDE 会看到:403 - Unauthorized. Contact your ChatGPT administrator for access.

开启设备码认证(可选):允许开发者在非交互环境(如远程开发机)用设备码登录 Codex CLI。详见身份认证

Codex Cloud

前置条件:Codex Cloud 需要 GitHub 云端托管仓库。如果代码库在内部部署或非 GitHub 平台,可用 Codex SDK 在自有基础设施上构建类似工作流。

  1. 在工作区设置的 Codex 区域开启 ChatGPT GitHub Connector
  2. 开启 Allow members to use Codex cloud
  3. 用户登录后在 ChatGPT 左侧导航栏即可看到 Codex(最长等待 10 分钟)

可选:

  • 开启 Codex Slack 应用:任务完成后向 Slack 推送完整回复(不开则只推链接)
  • 开启 Internet 访问:默认 Codex Cloud Agent 无网络访问权限,可配置允许名单

第二步:配置 RBAC 自定义角色

RBAC 能做什么

工作区所有者可以在 ChatGPT 管理设置里:

  • 为未分配自定义角色的用户设置默认角色
  • 创建带细粒度权限的自定义角色
  • 将自定义角色分配给用户组
  • 通过 SCIM 自动同步用户到组
  • 在 Custom Roles 标签页集中管理角色

用户可以继承多个角色,权限按最宽松(最少限制)原则合并。

创建 Codex Admin 组

设置专用的"Codex Admin"组,而不是向大范围用户赋予 Codex 管理权限。

Allow members to administer Codex 开关赋予 Codex Admin 角色。Codex Admin 可以:

  • 查看 Codex 工作区分析
  • 打开 Codex Policies 页面管理云端 requirements.toml 策略
  • 将策略分配给用户组或配置默认回退策略
  • 管理 Codex Cloud 环境(编辑和删除)

推荐的分组模式

  • 创建"Codex Users"组(可使用 Codex 的人)
  • 创建"Codex Admin"组(管理 Codex 设置和策略的少数人)
  • 只给"Codex Admin"组赋予 Allow members to administer Codex 权限
  • 如使用 SCIM,把"Codex Admin"组对接到身份提供商,确保成员变更可审计

第三步:配置 Codex Local 策略

Codex Admin 可以从 Policies 页面 下发 admin 强制执行的 requirements.toml 策略。

适合对不同用户组应用不同本地约束,无需在设备上分发文件。格式与受管配置中的 requirements.toml 相同,可定义审批策略、沙箱模式、网络搜索行为、MCP Server 允许名单、功能开关等。

配置建议

  1. 为大多数用户创建基础策略,只有确实需要时才创建更严格或更宽松的变体
  2. 将每个策略分配给特定用户组,并为其他人设置默认回退策略
  3. 组规则顺序很重要——用户匹配多条时第一条生效
  4. 将每个策略视为该组的完整配置文件,Codex 不会从后续匹配规则补充缺失字段

这些云端策略在用户用 ChatGPT 登录后对所有 Codex Local 界面生效(App、CLI、IDE)。

requirements.toml 示例

限制 Web 搜索、沙箱模式和审批策略:

toml
allowed_web_search_modes = ["disabled", "cached"]
allowed_sandbox_modes = ["workspace-write"]
allowed_approval_policies = ["on-request"]

禁止或要求审批特定命令:

toml
[rules]
prefix_rules = [
  { pattern = [{ token = "git" }, { any_of = ["push", "commit"] }], decision = "prompt", justification = "修改远程历史前需要人工确认。" },
]

查找用户策略

在 Policies 页面末尾使用策略查找工具,按用户组或邮箱确认哪条策略对特定用户生效。

第四步:用 Team Config 标准化本地配置

Team Config 允许团队通过仓库目录共享默认设置、规则和 Skill,无需在每台机器上重复配置。

.codex/ 目录提交到仓库,用户打开该仓库时 Codex 自动读取。

类型路径用途
配置基础config.toml设置沙箱模式、审批、模型等默认值
Rulesrules/控制 Codex 可以在沙箱外运行的命令
Skillsskills/让团队共享 Skill

优先在使用频率最高的仓库里配置 Team Config,让团队在最常用的地方获得一致体验。

第五步:配置 Codex Cloud 使用

连接仓库

  1. 前往 Codex,选择 Get started
  2. 选择 Connect to GitHub 安装 ChatGPT GitHub Connector
  3. 为连接器选择安装目标(通常是主组织)
  4. 选择要接入 Codex 的仓库

对于 GitHub Enterprise Managed Users(EMU),组织所有者需要先为组织安装 Codex GitHub App,用户才能在 Codex Cloud 连接仓库。

如果 GitHub 组织控制了 App 连接的 IP 地址,需要将 Codex 出口 IP 范围 加入允许名单。

开启代码审查

前往 设置 → Code review 允许 Codex 对 GitHub PR 进行代码审查。可在仓库级别配置,用户也可以开启 PR 自动审查。详见 GitHub 集成

配置 Codex Security

Codex Security 帮助工程和安全团队发现、确认和修复 GitHub 仓库中的漏洞。它逐 commit 扫描仓库,对发现的问题排序并尝试确认,展示带证据、严重性和修复建议的结构化发现。

设置详见 Codex Security 配置向导

第六步:设置治理与观测

建议尽早配置治理,以便追踪采用情况、排查问题、支持合规工作流。

主要工具

  • Analytics Dashboard:快速自助查看采用情况
  • Analytics API:程序化报告,接入 BI 工具
  • Compliance API:导出详细活动日志,用于审计和调查

Analytics API 配置步骤

  1. 以所有者/管理员身份登录 OpenAI API Platform Portal
  2. 前往 API keys 页面
  3. 创建专用密钥,命名如"Codex Analytics API"
  4. 权限设为 Read only
  5. 复制并安全保存密钥(只能查看一次)
  6. 发邮件到 support@openai.com 请求将该密钥的 scope 限定为 codex.enterprise.analytics.read
  7. 等待 OpenAI 确认

使用 Analytics API:

bash
curl -H "Authorization: Bearer YOUR_PLATFORM_API_KEY" \
  "https://api.chatgpt.com/v1/analytics/codex/workspaces/WORKSPACE_ID/usage"

Compliance API 配置步骤

  1. 创建专用密钥,权限选 All permissions
  2. 发邮件到 support@openai.com 附上密钥末 4 位、密钥名称、创建者姓名、需要的 scope(read/delete/两者)
  3. 等待 OpenAI 确认
bash
# 列出合规日志文件
curl -L -H "Authorization: Bearer YOUR_COMPLIANCE_API_KEY" \
  "https://api.chatgpt.com/v1/compliance/workspaces/WORKSPACE_ID/logs?event_type=CODEX_LOG&after=2026-03-01T00:00:00Z"

第七步:确认与验证

配置完成后确认以下各项:

  • 用户可以登录 Codex Local(ChatGPT 或 API Key)
  • (如已开启)用户可以登录 Codex Cloud(需要 ChatGPT 登录)
  • MFA 和 SSO 要求符合企业安全策略
  • RBAC 和工作区开关产生预期的访问行为
  • 受管配置对用户生效
  • 管理员可以看到治理数据

验证通过后,可以将 Codex 推广到更多团队和组织。

常见问题

Q: Codex Cloud 必须用 GitHub 吗?内部部署的 GitLab 或 Bitbucket 仓库怎么办?

A: Codex Cloud 目前仅支持 GitHub 云端托管仓库。如果代码库不在 GitHub 上,可以用 Codex SDK 在自有基础设施上构建类似工作流,或者先用 Codex Local(CLI/App)。

Q: requirements.toml 策略和用户本地 config.toml 的优先级关系是什么?

A: 云端 requirements.toml 是强制约束层,优先级高于所有本地配置。用户无法覆盖 requirements 里设定的约束,Codex 会在检测到冲突时通知用户并回退到兼容值。

Q: Team Config 的 .codex/ 目录需要每个项目都配置吗?

A: 不需要,只需在高频使用的核心仓库里配置即可。Team Config 按仓库生效,用户打开对应仓库时自动加载,其他仓库不受影响。

友情链接: 能跑吗 · 打工算 · 车主算 · 开发工具 · 人工不智能

Copyright © 2026 地豆 蜀ICP备2021007188号 | 关于本站 | 隐私政策