Les entreprises utilisent différents fournisseurs OpenID Connect (OP) pour coordonner OpenID Connect (par exemple, Okta ou OneLogin). Il est possible que les termes utilisés dans les instructions de configuration ci-dessous et dans l'interface utilisateur de Looker ne correspondent pas directement à ceux utilisés par votre OP.
La page OpenID Connect de la section Authentification du menu "Admin" vous permet de configurer Looker pour authentifier les utilisateurs à l'aide du protocole OpenID Connect. Cette page décrit ce processus et inclut des instructions pour associer des groupes OpenID Connect à des rôles et autorisations Looker.
Conditions requises
Looker n'affiche la page OpenID Connect dans la section Authentification du menu Admin que si les conditions suivantes sont remplies :
- Vous disposez du rôle Administrateur.
- Votre instance Looker est activée pour utiliser OpenID Connect.
Si ces conditions sont remplies et que la page OpenID Connect ne s'affiche pas, déposez une demande d'assistance pour activer OpenID Connect sur votre instance.
Considérations liées à la planification
- Envisagez d'utiliser l'option Autre méthode de connexion pour les utilisateurs spécifiés pour permettre aux administrateurs Looker d'accéder à Looker sans OpenID Connect.
- Ne désactivez pas l'authentification OpenID Connect lorsque vous êtes connecté à Looker à l'aide d'OpenID Connect, sauf si vous avez configuré une autre méthode de connexion à votre compte. Sinon, vous risquez de perdre l'accès à l'application.
- Looker peut migrer les comptes existants vers OpenID Connect à l'aide d'adresses e-mail provenant de configurations actuelles avec adresse e-mail et mot de passe, LDAP, SAML ou Google Auth. Vous pourrez configurer cette option lors du processus de configuration.
- Looker n'est compatible avec l'authentification OpenID Connect qu'à l'aide du flux avec code d'autorisation d'OpenID Connect. Les autres flux de code ne sont pas acceptés.
- La spécification OpenID Connect inclut un mécanisme de découverte facultatif. Looker n'est pas compatible avec ce mécanisme. Vous devez donc fournir des URL explicites dans la section Paramètres d'authentification OpenID Connect, comme décrit dans Configurer les paramètres d'authentification OpenID Connect.
Configurer OpenID Connect
Pour configurer la connexion entre Looker et OpenID Connect, procédez comme suit :
- Fournissez votre URL Looker à votre fournisseur OpenID Connect (OP).
- Obtenez les informations requises auprès de votre OP.
Configurer Looker sur votre plate-forme d'opérateur
Votre fournisseur OpenID Connect (OP) aura besoin de l'URL de votre instance Looker. Votre OP peut l'appeler URI de redirection ou URI de redirection de connexion, entre autres. Sur le site Web de votre OP, fournissez-lui l'URL à laquelle vous accédez généralement à votre instance Looker dans un navigateur, suivie de /openidconnect
. Par exemple, https://instance_name.looker.com/openidconnect
.
Obtenir des informations de votre OP
Pour configurer Looker pour l'authentification OpenID Connect, vous avez besoin des informations suivantes de votre fournisseur d'identité :
- Un identifiant client et code secret du client. Elles sont généralement fournies par l'OP sur son site Web lorsque vous configurez l'URI de redirection.
- Lors du processus d'authentification OpenID Connect, Looker se connecte à trois points de terminaison différents : un point de terminaison d'authentification, un point de terminaison de jeton d'identité et un point de terminaison d'informations utilisateur. Vous aurez besoin des URL utilisées par votre OP pour chacun de ces points de terminaison.
- Chaque OP fournit des informations sur les utilisateurs dans des ensembles appelés scopes. Vous devez connaître les noms des niveaux d'accès utilisés par votre OP. OpenID Connect nécessite le champ d'application
openid
, mais votre OP inclura probablement d'autres champs d'application, tels queemail
,profile
etgroups
. - Dans OpenID Connect, les attributs qui stockent les données utilisateur sont appelés revendications. Vous devez savoir quelles revendications votre OP transmet à Looker pour fournir les informations utilisateur souhaitées sur votre instance Looker. Looker exige des revendications contenant des informations sur l'adresse e-mail et le nom. Toutefois, si vous disposez d'autres attributs utilisateur, tels que le fuseau horaire ou le service, Looker devra également identifier les revendications contenant ces informations. Les revendications peuvent être incluses dans la réponse du point de terminaison "Informations utilisateur" ou du point de terminaison du jeton d'identité. Looker peut mapper les revendications renvoyées par l'un ou l'autre point de terminaison aux attributs utilisateur Looker.
De nombreux FPs fournissent des informations sur la configuration d'OpenID Connect sous la forme d'un document de découverte, ce qui vous permet de recueillir tout ou partie des informations dont vous aurez besoin pour configurer Looker pour OpenID Connect. Si vous n'avez pas accès à un document de découverte, vous devez obtenir les informations nécessaires auprès de votre OP ou de votre équipe d'authentification interne.
La section suivante est extraite d'un exemple de document de découverte :
{ "issuer": "https://accounts.google.com", "authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth", "token_endpoint": "https://www.googleapis.com/oauth2/v4/token", "userinfo_endpoint": "https://www.googleapis.com/oauth2/v3/userinfo", "revocation_endpoint": "https://accounts.google.com/o/oauth2/revoke", "jwks_uri": "https://www.googleapis.com/oauth2/v3/certs", "response_types_supported": [ "code", "token", "id_token", "code token" "code id_token", "token id_token", "code token id_token", "none" ], "subject_types_supported": [ "public" ], "id_token_signing_alg_values_supported": [ "RS256" ], "scopes_supported": [ "openid", "email", "profile" ], "token_endpoint_auth_methods_supported": [ "client_secret_post", "client_secret_basic" ], "claims_supported": [ "aud", "email", "email_verified", "exp", "family_name", "given_name", "iat", "iss", "locale", "name", "picture", "sub" ],
Configurer les paramètres d'authentification OpenID Connect
Utilisez les informations de configuration que vous avez obtenues à partir du document de découverte de votre OP, de votre OP ou de votre équipe d'authentification interne pour saisir les paramètres de connexion dans les champs suivants :
Identifiant : identifiant client unique à votre instance Looker. Cette information doit vous être fournie par votre OP.
Secret : clé code secret du client propre à votre instance Looker. Cette information doit vous être fournie par votre OP.
Émetteur : URL sécurisée qui identifie votre OP.
Audience : identifiant indiquant à votre OP qui est le client. Il est souvent identique à la valeur de votre identifiant, mais peut être différent.
URL d'autorisation : URL de l'OP où commence la séquence d'authentification. Souvent appelé authorization_endpoint
dans un document de découverte.
URL du jeton : URL à partir de laquelle Looker récupère un jeton OAuth une fois qu'il a été autorisé. Souvent appelé token_endpoint
dans un document de découverte.
URL des informations sur l'utilisateur : URL à partir de laquelle Looker récupère des informations détaillées sur l'utilisateur. Souvent appelé userinfo_endpoint
dans un document de découverte.
Niveaux d'accès : liste des niveaux d'accès utilisés par l'OP pour fournir des informations utilisateur à Looker. Vous devez inclure le champ d'application openid
et tous les champs d'application qui incluent les informations requises par Looker, y compris les adresses e-mail, les noms d'utilisateur et tous les attributs utilisateur configurés sur votre instance Looker.
Configurer les paramètres des attributs utilisateur
Dans cette section, vous allez mapper les revendications de l'OP avec les attributs utilisateur Looker.
Dans la section Paramètres des attributs utilisateur, saisissez le nom de la revendication de votre OP qui contient les informations correspondantes pour chaque champ. Cela indique à Looker comment mapper ces revendications aux informations utilisateur Looker lors de la connexion. Looker n'est pas particulièrement regardant sur la façon dont les revendications sont construites. L'important est que les informations sur les revendications saisies ici correspondent à la façon dont les revendications sont définies dans votre OP.
Revendications standards
Looker exige un nom d'utilisateur et une adresse e-mail pour authentifier les utilisateurs. Dans cette section, saisissez les informations correspondantes sur la réclamation de votre OP :
Revendication d'adresse e-mail : revendication utilisée par votre OP pour les adresses e-mail des utilisateurs, par exemple email
.
Revendication du prénom : revendication utilisée par votre OP pour les prénoms des utilisateurs, par exemple given_name
.
Revendication du nom de famille : revendication utilisée par votre OP pour les noms de famille des utilisateurs, par exemple family_name
.
Notez que certains OP utilisent une seule revendication pour les noms, au lieu de séparer le prénom et le nom de famille. Si c'est le cas pour votre OP, saisissez la revendication qui stocke les noms dans les champs Revendication du prénom et Revendication du nom. Pour chaque utilisateur, Looker utilisera le contenu jusqu'au premier espace comme prénom et tout ce qui suit comme nom de famille.
Associations d'attributs
Vous pouvez également utiliser les données de vos revendications OpenID Connect pour renseigner automatiquement les valeurs des attributs utilisateur Looker lorsqu'un utilisateur se connecte. Par exemple, si vous avez configuré OpenID Connect pour établir des connexions spécifiques aux utilisateurs à votre base de données, vous pouvez associer vos revendications OpenID Connect à des attributs utilisateur Looker pour rendre vos connexions à la base de données spécifiques aux utilisateurs dans Looker.
Pour associer les revendications aux attributs utilisateur Looker correspondants :
- Saisissez la revendication telle qu'identifiée par votre OP dans le champ Revendication et l'attribut utilisateur Looker auquel vous souhaitez l'associer dans le champ Attributs utilisateur Looker.
- Cochez Obligatoire si vous souhaitez bloquer la connexion de tout compte utilisateur pour lequel une valeur est manquante dans ce champ de revendication.
- Cliquez sur + et répétez ces étapes pour ajouter d'autres paires de revendications et d'attributs.
Notez que certaines OP peuvent comporter des revendications "imbriquées". Exemple :
"zoneinfo": "America/Los Angeles",
"phone_number": "555-1235",
"address": {
"street_address": "1234 Main Street",
"locality": "Anyton",
"region": "IL",
"postal_code": "60609",
"country": "US"
},
Dans l'exemple précédent, la revendication locality
est imbriquée dans la revendication address
. Pour les revendications imbriquées, spécifiez les revendications parent et imbriquée, séparées par une barre oblique ( /
). Pour configurer Looker pour la revendication locality
dans l'exemple, vous devez saisir address/locality
.
Groupes et rôles
Vous pouvez demander à Looker de créer des groupes qui reflètent vos groupes OpenID Connect gérés en externe, puis d'attribuer des rôles Looker aux utilisateurs en fonction de leurs groupes OpenID Connect dupliqués. Lorsque vous modifiez l'appartenance à votre groupe OpenID Connect, ces modifications sont automatiquement propagées à la configuration des groupes Looker.
La duplication des groupes OpenID Connect vous permet d'utiliser votre répertoire OpenID Connect défini en externe pour gérer les groupes et les utilisateurs Looker. Cela vous permet de gérer vos appartenances à des groupes pour plusieurs outils Software as a Service (SaaS), tels que Looker, en un seul endroit.
Si vous activez l'option Dupliquer les groupes OpenID Connect, Looker créera un groupe Looker pour chaque groupe OpenID Connect introduit dans le système. Vous pouvez consulter ces groupes Looker sur la page Groupes de la section Admin de Looker. Les groupes peuvent être utilisés pour attribuer des rôles à leurs membres, définir des contrôles d'accès au contenu et attribuer des attributs utilisateur.
Groupes et rôles par défaut
Par défaut, le bouton Dupliquer les groupes OpenID Connect est désactivé. Dans ce cas, vous pouvez définir un groupe par défaut pour les nouveaux utilisateurs OpenID Connect. Dans les champs Nouveaux groupes d'utilisateurs et Nouveaux rôles d'utilisateur, saisissez les noms des groupes ou rôles Looker auxquels vous souhaitez attribuer les nouveaux utilisateurs Looker lors de leur première connexion à Looker :
Ces groupes et rôles sont appliqués aux nouveaux utilisateurs lors de leur première connexion. Ils ne sont pas appliqués aux utilisateurs existants, et ne sont pas appliqués une nouvelle fois s'ils sont supprimés après la première connexion.
Activer la duplication des groupes OpenID Connect
Si vous utilisez une instance Looker (Google Cloud Core), nous vous recommandons d'activer la mise en miroir des groupes uniquement pour la méthode d'authentification principale et de ne pas l'activer pour l'authentification OAuth de secours. Si vous activez la mise en miroir des groupes pour les méthodes d'authentification principale et secondaire, les comportements suivants se produiront :
- Si un utilisateur a fusionné des identités, la mise en miroir des groupes correspondra à la méthode d'authentification principale, quelle que soit la méthode d'authentification utilisée pour se connecter.
- Si un utilisateur n'a pas fusionné ses identités, la mise en miroir des groupes correspondra à la méthode d'authentification utilisée pour se connecter.
Procédure à suivre pour activer les groupes mis en miroir
Pour dupliquer vos groupes OpenID Connect dans Looker, activez l'option Dupliquer les groupes OpenID Connect :
Revendication des groupes : saisissez la revendication que votre fournisseur d'identité utilise pour stocker les noms de groupes. Looker créera un groupe Looker pour chaque groupe OpenID Connect introduit dans le système par la revendication "Groupes". Vous pouvez consulter ces groupes Looker sur la page Groupes de la section Admin de Looker. Les groupes peuvent être utilisés pour définir des contrôles d'accès au contenu et attribuer des attributs utilisateur.
Nom du groupe préféré / Rôles / Nom du groupe OpenID Connect : cet ensemble de champs vous permet d'attribuer un nom de groupe personnalisé et un ou plusieurs rôles qui sont attribués au groupe OpenID Connect correspondant dans Looker :
Saisissez le nom du groupe OpenID Connect dans le champ Nom du groupe OpenID Connect. Les utilisateurs OpenID Connect inclus dans le groupe OpenID Connect seront ajoutés au groupe dupliqué dans Looker.
Saisissez un nom personnalisé pour le groupe mis en miroir dans le champ Nom personnalisé. Il s'agit du nom qui s'affichera sur la page Groupes de la section Admin de Looker.
Dans le champ à droite de Nom personnalisé, sélectionnez un ou plusieurs rôles Looker qui seront attribués à chaque utilisateur du groupe.
Cliquez sur
+
pour ajouter des ensembles de champs et configurer d'autres groupes mis en miroir. Si vous avez configuré plusieurs groupes et que vous souhaitez supprimer la configuration d'un groupe, cliquez surX
à côté de l'ensemble de champs de ce groupe.
Si vous modifiez un groupe mis en miroir qui a été configuré précédemment sur cet écran, la configuration du groupe changera, mais le groupe lui-même restera intact. Par exemple, vous pouvez modifier le nom personnalisé d'un groupe, ce qui changera la façon dont il s'affiche sur la page Groupes de Looker, mais pas les rôles et les membres qui lui sont attribués. Si vous modifiez l'ID du groupe OpenID Connect, le nom et les rôles du groupe seront conservés, mais les membres du groupe seront réattribués en fonction des utilisateurs membres du groupe OpenID Connect externe associé au nouvel ID de groupe OpenID Connect.
Si vous supprimez un groupe sur cette page, il ne sera plus répliqué dans Looker et ses membres n'auront plus les rôles qui leur ont été attribués dans Looker par le biais de ce groupe.
Toute modification apportée à un groupe mis en miroir sera appliquée aux utilisateurs de ce groupe lors de leur prochaine connexion à Looker.
Gestion avancée des rôles
Si vous avez activé le bouton Dupliquer les groupes OpenID Connect, Looker affiche ces paramètres. Les options de cette section déterminent la flexibilité dont disposent les administrateurs Looker lorsqu'ils configurent des groupes et des utilisateurs Looker qui ont été dupliqués à partir d'OpenID Connect.
Par exemple, si vous souhaitez que la configuration de vos groupes et utilisateurs Looker corresponde exactement à votre configuration OpenID Connect, activez ces options. Lorsque les trois premières options sont activées, les administrateurs Looker ne peuvent pas modifier l'appartenance à des groupes dupliqués et ne peuvent attribuer des rôles aux utilisateurs que par le biais de groupes dupliqués OpenID Connect.
Si vous souhaitez davantage de flexibilité pour personnaliser vos groupes dans Looker, désactivez ces options. Vos groupes Looker continueront de refléter votre configuration OpenID Connect, mais vous pourrez gérer les groupes et les utilisateurs dans Looker, par exemple en ajoutant des utilisateurs OpenID Connect à des groupes spécifiques à Looker ou en attribuant des rôles Looker directement aux utilisateurs OpenID Connect.
Pour les nouvelles instances Looker ou celles qui n'ont pas de groupes mis en miroir précédemment configurés, ces options sont désactivées par défaut.
Pour les instances Looker existantes qui ont configuré des groupes mis en miroir, ces options sont activées par défaut.
La section Gestion avancée des rôles contient les options suivantes :
Empêcher les utilisateurs OpenID Connect individuels de recevoir des rôles directs : si vous activez cette option, les administrateurs Looker ne pourront pas attribuer de rôles Looker directement aux utilisateurs OpenID Connect. Les utilisateurs OpenID Connect ne recevront des rôles que s'ils sont membres d'un groupe. Si les utilisateurs OpenID Connect sont autorisés à être membres de groupes Looker intégrés (non dupliqués), ils peuvent toujours hériter de leurs rôles à la fois des groupes OpenID Connect dupliqués et des groupes Looker intégrés. Les rôles qui avaient été attribués directement aux utilisateurs OpenID Connect seront supprimés lors de leur prochaine connexion.
Si cette option est désactivée, les administrateurs Looker peuvent attribuer des rôles Looker directement aux utilisateurs OpenID Connect, comme s'ils étaient configurés directement dans Looker.
Empêcher l'adhésion directe à des groupes autres qu'OpenID Connect : si vous activez cette option, les administrateurs Looker ne pourront pas ajouter d'utilisateurs OpenID Connect directement à des groupes Looker intégrés. Si les groupes OpenID Connect dupliqués sont autorisés à être membres de groupes Looker intégrés, les utilisateurs OpenID Connect peuvent conserver leur appartenance à des groupes Looker parents. Tous les utilisateurs OpenID Connect qui étaient auparavant attribués à des groupes Looker intégrés seront supprimés de ces groupes lors de leur prochaine connexion.
Si cette option est désactivée, les administrateurs Looker peuvent ajouter des utilisateurs OpenID Connect directement à des groupes Looker intégrés.
Empêcher l'héritage des rôles depuis des groupes autres qu'OpenID Connect : si vous activez cette option, les membres des groupes OpenID Connect dupliqués n'hériteront pas des rôles des groupes Looker intégrés. Tous les utilisateurs OpenID Connect qui ont déjà hérité de rôles d'un groupe Looker parent les perdront lors de leur prochaine connexion.
Si cette option est désactivée, les groupes OpenID Connect dupliqués ou les utilisateurs OpenID Connect ajoutés en tant que membres d'un groupe Looker intégré hériteront des rôles attribués au groupe Looker parent.
Authentification requise pour le rôle : si cette option est activée, les utilisateurs OpenID Connect doivent disposer d'un rôle attribué. Les utilisateurs OpenID Connect auxquels aucun rôle n'est attribué ne pourront pas se connecter à Looker.
Si cette option est désactivée, les utilisateurs OpenID Connect peuvent s'authentifier auprès de Looker même si aucun rôle ne leur est attribué. Un utilisateur sans rôle attribué ne pourra pas voir de données ni effectuer d'actions dans Looker, mais il pourra se connecter à Looker.
Désactiver la duplication des groupes OpenID Connect
Si vous souhaitez arrêter de dupliquer vos groupes OpenID Connect dans Looker, désactivez l'option Dupliquer les groupes OpenID Connect. Si vous désactivez le bouton bascule, le comportement suivant se produit :
- Tout groupe OpenID Connect dupliqué sans utilisateur est supprimé immédiatement.
- Tout groupe OpenID Connect dupliqué qui contient des utilisateurs est marqué comme orphelin. Si aucun utilisateur de ce groupe ne se connecte dans un délai de 31 jours, le groupe est supprimé. Il n'est plus possible d'ajouter ni de supprimer des utilisateurs dans les groupes OpenID Connect orphelins.
Configurer les options de migration
Comme expliqué dans cette section, Looker recommande d'activer l'autre méthode de connexion et de fournir une stratégie de fusion pour les utilisateurs existants.
Méthode de connexion alternative pour les utilisateurs spécifiés
Les connexions Looker par combinaison adresse e-mail/mot de passe sont toujours désactivées pour les utilisateurs standards lorsque l'authentification OpenID Connect est activée. L'option Méthode de connexion alternative pour les utilisateurs spécifiés permet une méthode de connexion alternative basée sur l'adresse e-mail avec /login/email
pour les administrateurs et les utilisateurs spécifiés disposant de l'autorisation login_special_email
.
Cette option est utile comme solution de secours lors de la configuration d'OpenID Connect si des problèmes de configuration OpenID Connect surviennent ultérieurement ou si vous devez assister des utilisateurs qui n'ont pas de compte dans votre répertoire OpenID Connect.
Spécifiez la méthode utilisée pour fusionner les utilisateurs OpenID Connect avec un compte Looker.
Dans le champ Fusionner les utilisateurs à l'aide de, spécifiez la méthode à utiliser pour fusionner une première connexion OpenID Connect avec un compte utilisateur existant. Vous pouvez fusionner des utilisateurs à partir des systèmes suivants :
- Adresse e-mail/Mot de passe Looker (non disponible pour Looker (Google Cloud Core))
- LDAP (non disponible pour Looker (Google Cloud Core))
- SAML
Si vous avez plusieurs systèmes d'authentification en place, vous pouvez spécifier plusieurs systèmes à fusionner dans ce champ. Looker recherche les utilisateurs dans les systèmes listés dans l'ordre dans lequel ils sont spécifiés. Par exemple, supposons que vous ayez créé des utilisateurs à l'aide de la combinaison adresse e-mail/mot de passe Looker, que vous ayez ensuite activé LDAP et que vous souhaitiez maintenant utiliser OpenID Connect. Dans l'exemple précédent, Looker fusionnerait d'abord par adresse e-mail et mot de passe, puis par LDAP.
Lorsqu'un utilisateur se connecte pour la première fois avec OpenID Connect, cette option l'associe à son compte existant en recherchant le compte dont l'adresse e-mail correspond. S'il n'existe aucun compte pour l'utilisateur, un nouveau compte sera créé.
Fusionner des utilisateurs lorsque vous utilisez Looker (Google Cloud Core)
Lorsque vous utilisez Looker (Google Cloud Core) et OpenID Connect, la fusion fonctionne comme décrit dans la section précédente. Toutefois, cela n'est possible que si l'une des deux conditions suivantes est remplie :
- Condition 1 : Les utilisateurs s'authentifient dans Looker (Google Cloud Core) à l'aide de leurs identités Google via le protocole OpenID Connect.
Condition 2 : Avant de sélectionner l'option de fusion, vous avez effectué les deux étapes suivantes :
- Identités des utilisateurs fédérés dans Google Cloud à l'aide de Cloud Identity.
- Configurez l'authentification OAuth comme méthode d'authentification de secours à l'aide des utilisateurs fédérés.
Si la configuration ne répond pas à l'une de ces deux conditions, l'option Fusionner les utilisateurs à l'aide de ne sera pas disponible.
Lors de la fusion, Looker recherche les fiches utilisateur qui partagent exactement la même adresse e-mail.
Tester l'authentification des utilisateurs
Lorsque vous spécifiez cette configuration, cliquez sur le bouton Tester pour tester votre configuration OpenID Connect.
Les tests redirigent vers les points de terminaison et ouvrent un nouvel onglet de navigateur. L'onglet affiche les éléments suivants :
- Si Looker a pu communiquer avec les différents points de terminaison et valider
- Trace de la réponse du point de terminaison d'authentification
- Informations utilisateur que Looker obtient à partir du point de terminaison des informations utilisateur
- Versions décodée et brute du jeton d'identité reçu
Vous pouvez utiliser ce test pour vérifier que les informations reçues des différents points de terminaison sont correctes et pour résoudre les éventuelles erreurs.
Astuces :
- Vous pouvez exécuter ce test à tout moment, même si OpenID Connect est partiellement configuré. Il peut être utile d'exécuter un test lors de la configuration pour identifier les paramètres à configurer.
- Le test utilise les paramètres saisis sur la page Authentification OpenID Connect, même s'ils n'ont pas été enregistrés. Le test n'aura aucune incidence sur les paramètres de cette page, qui resteront inchangés.
Enregistrer et appliquer les paramètres
Une fois que vous avez saisi vos informations et que tous les tests sont réussis, cochez la case J'ai confirmé la configuration ci-dessus et je souhaite l'appliquer globalement, puis cliquez sur Mettre à jour les paramètres pour enregistrer.