18. Enterprise · Admin · Governance
ChatGPT Enterprise / Business 워크스페이스 관리자가 Codex 도입 시 다루는 전 영역. SSO · SCIM · MFA · RBAC 인증 인프라, Managed Configuration TOML 정책 강제(requirements vs managed defaults), CODEX_ACCESS_TOKEN 라이프사이클, 30일 감사 로그 · Analytics · Compliance API, 망분리·KISA·ISMS-P 같은 한국 환경 특수 항목을 정리합니다.
ChatGPT Enterprise / Business 워크스페이스 관리자가 Codex를 도입할 때 다루는 모든 영역 — Admin Setup(SCIM·SSO·RBAC), Managed Configuration(TOML 정책 강제), Access Tokens(CI용 자격증명), Governance(감사 로그·Analytics·Compliance API).
이 페이지에서 배우는 것
- 한국 기업에서 Codex 도입 시 가장 많이 묻는 항목 체크리스트
- Admin Setup — SSO·SCIM·MFA·RBAC와 Codex Users / Codex Admin 그룹
- Managed Configuration — requirements vs managed defaults, MCP allowlist, MDM 배포
- Access Tokens —
CODEX_ACCESS_TOKEN라이프사이클과 API key와의 차이 - Governance — 30일 감사 로그, Analytics Dashboard/API, Compliance API, SIEM/DLP 연계
- 한국 환경 특수 항목 — 망분리·사내 프록시·KISA 가이드
도입 의사결정 체크리스트
한국 기업 PM·CISO·구매 담당이 가장 자주 묻는 8개 항목입니다.
- 인증 — SSO(OIDC/SAML), SCIM 자동 프로비저닝, MFA 강제 가능
- 권한 — RBAC로 Codex Users(일반)와 Codex Admin(관리자) 분리, 조직 단위 정책 강제
- 데이터 격리 — Workspace 데이터가 모델 학습에 사용되지 않음(opt-out 보장), 30일 활동 로그
- 감사 추적 — 모든 작업이 Analytics/Compliance API로 export 가능 (CSV/JSON), SIEM 연계
- 망분리·프록시 — HTTP/HTTPS 프록시 설정, 사내 GitHub Enterprise 연결, IP 화이트리스트
- MDM 배포 — macOS는 Jamf Pro·Fleet 통해 설정 강제 배포
- 요금 — 사용량 기반(19. Pricing 참조), 5시간 단위 rate limit
- 지역 — EEA/UK/CH는 일부 기능(Computer Use, Memories, Chronicle) 제공 차이
Admin Setup — SSO · SCIM · 그룹 · 저장소 연결
Managed Configuration — TOML 정책 강제
관리자가 모든 사용자에게 강제할 정책을 TOML로 정의합니다. 두 가지 톤이 있습니다:
approval_policy = "on-request", MCP 서버 allowlist 강제, cli_auth_credentials_store = "keyring".config.toml에서 덮어쓸 수 있는 추천 기본값. 첫 사용자 경험을 조직 표준에 맞추는 용도.예시
# /Library/Application Support/Codex/managed.toml (macOS)
# 또는 Windows의 적절한 Managed Configuration 경로
[requirements]
forced_login_method = "chatgpt"
forced_chatgpt_workspace_id = "ws_corp123"
approvals_reviewer = "auto_review"
[requirements.mcp_servers]
allowlist = ["docs", "search", "linear"]
# 이 목록 밖의 MCP 서버는 사용자가 추가해도 활성화되지 않음
[managed_defaults]
model = "gpt-5-codex"
model_reasoning_effort = "medium"
web_search = "cached"
file_opener = "vscode"MDM 배포
macOS에서는 Jamf Pro·Fleet·Mosyle·Kandji 같은 MDM으로 managed configuration 파일을 모든 사내 Mac에 푸시합니다. 사용자가 Codex를 처음 실행하면 이미 정책이 적용되어 있습니다.
Access Tokens — CI · 자동화용 자격증명
CODEX_ACCESS_TOKEN은 사람 계정과 별도로 발급하는 CI/자동화용 자격증명입니다. API key와 ChatGPT OAuth 토큰의 중간 위치 — workspace 관리자가 발급·회전·취소합니다.
| 비교 | API Key | ChatGPT OAuth | CODEX_ACCESS_TOKEN |
|---|---|---|---|
| 발급 위치 | platform.openai.com | codex login | Workspace admin 대시보드 |
| 회전/취소 | 수동 | 로그인 재실행 | 관리자가 즉시 취소 가능 |
| 감사 로그 | API usage | 제한적 | 워크스페이스 전체 활동에 통합 기록 |
| 적합한 곳 | 개인 종량제 | 개인 데스크톱 사용 | CI · 봇 · 공유 자동화 |
| 만료 | 없음(수동) | 자동 갱신 | 1일 이상, 회전 권장 |
# CI에서 사용
export CODEX_ACCESS_TOKEN="ct_..."
codex exec --json "Run security scan"
# 또는 codex login --with-access-token 으로 영구 설정
codex login --with-access-token "$CODEX_ACCESS_TOKEN"Governance — 감사 로그 · Analytics · Compliance
모든 Codex 활동은 워크스페이스 단위로 기록되고 30일간 보존됩니다. 보안팀이 가장 자주 묻는 API:
한국 보안팀이 자주 요청하는 양식: "지난 30일간 특정 사용자의 모든 Codex 작업 + 도구 호출 + 파일 변경 목록" — Compliance API로 즉시 export 가능. 정기 보고서가 필요하면 cron으로 export를 떠 사내 보안 스토리지에 적재하는 패턴이 표준입니다.
한국 환경 특수 항목
- 망분리 — 내부망에서 Codex App을 쓰려면 HTTP/HTTPS 프록시를 환경변수로 강제(setup script 또는 OS 환경변수). cloud-environments.html의 프록시 섹션 참조.
- GitHub Enterprise on-prem — Admin Setup에서 Enterprise GitHub instance를 연결하고 SSL 인증서·IP 화이트리스트를 등록.
- KISA · ISMS-P 대응 — 30일 감사 로그 + SIEM 연계 + access token 회전 정책이면 핵심 통제 요구사항 다수 충족. 사내 보안팀에 Compliance API 샘플 export를 미리 제공 권장.
- 모델 데이터 학습 — Enterprise/Business는 기본 opt-out. 추가 보장이 필요하면 사내 정보 보안 정책 협의 후 OpenAI 영업/CSM에 문의.
한계점
⚠️ 알아둘 점
- Managed Configuration의 일부 키는 Codex 버전마다 차이 — 도입 전 현재 버전 기준 매트릭스 확인
- 30일 보존은 기본값이며, 더 긴 보존이 필요하면 외부 SIEM로 export 후 별도 저장 필요
- Access Token 회전을 자동화하지 않으면 만료 시점에 CI 실패 — 회전 cron 권장
- EEA/UK/CH는 일부 기능(Computer Use 등)이 제공되지 않을 수 있음
공식 출처
- Admin Setup
codex/enterprise/admin-setup - Managed Configuration
codex/enterprise/managed-configuration - Access Tokens
codex/enterprise/access-tokens - Governance
codex/enterprise/governance