Paramètres d'administration – Authentification OpenID Connect

Les entreprises font appel à différents fournisseurs OpenID Connect (OPs) pour se coordonner avec OpenID Connect (par exemple, Okta ou OneLogin). Les termes utilisés dans les instructions de configuration suivantes et dans l'UI de Looker peuvent ne pas correspondre directement à ceux utilisés par votre OP.

La page OpenID Connect de la section Authentification du menu "Admin" vous permet de configurer Looker pour authentifier les utilisateurs à l'aide du protocole OpenID Connect. Cette page décrit le processus et explique comment associer des groupes OpenID Connect à des rôles et autorisations Looker.

Remarques concernant la planification

• Envisagez d'utiliser l'option Autre connexion pour les utilisateurs spécifiés pour permettre aux administrateurs Looker d'accéder à Looker sans OpenID Connect.
• Ne désactivez pas l'authentification OpenID Connect lorsque vous êtes connecté à Looker à l'aide d'OpenID Connect, sauf si vous avez configuré un autre compte. Sinon, vous risquez de bloquer l'accès à l'application.
• Looker peut migrer des comptes existants vers OpenID Connect à l'aide d'adresses e-mail provenant des configurations actuelles d'adresse e-mail/de mot de passe, de LDAP, SAML ou Google Auth. Vous pourrez configurer cela au cours du processus de configuration.
• Looker n'accepte l'authentification OpenID Connect qu'à l'aide du flux avec code d'autorisation d'OpenID Connect. Les autres flux de code ne sont pas compatibles.
• La spécification OpenID Connect inclut un mécanisme de découverte facultatif. Looker n'est pas compatible avec ce mécanisme. Vous devez donc fournir des URL explicites dans la section Paramètres d'authentification OpenID Connect, comme décrit ci-dessous.

Configurer OpenID Connect

Pour configurer la connexion entre Looker et OpenID Connect, procédez comme suit:

1. Donnez l'URL Looker à votre fournisseur OpenID Connect.
2. Obtenez les informations requises à partir de votre opérateur.

Configurer Looker sur votre opération

Votre fournisseur OpenID Connect aura besoin de l'URL de votre instance Looker. Votre opération peut appeler cela l'URI de redirection ou l'URI de redirection de connexion, entre autres. Sur le site Web de votre OP, fournissez à votre OP l'URL où vous accédez généralement à votre instance Looker dans un navigateur, suivie de /openidconnect. Par exemple, https://instance_name.looker.com/openidconnect.

Obtenir des informations de votre opérateur

Pour configurer Looker pour l'authentification OpenID Connect, vous avez besoin des informations suivantes de votre OP:

• Un identifiant et un code secret du client. Celles-ci sont généralement fournies par l'OP sur son site Web, lorsque vous configurez l'URI de redirection, comme décrit ci-dessus.
• Au cours du processus d'authentification OpenID Connect, Looker se connecte à trois points de terminaison différents : un point de terminaison d'authentification, un point de terminaison de jeton d'ID et un point de terminaison User Information. Vous aurez besoin des URL utilisées par votre opérateur pour chacun de ces points de terminaison.
• Chaque OP fournit des informations sur l'utilisateur dans des ensembles appelés champs d'application. Vous devez connaître les noms des champs d'application utilisés par votre OP. OpenID Connect nécessite le champ d'application openid, mais votre OP inclut probablement d'autres champs d'application, tels que email, profile et groups.
• Dans OpenID Connect, les attributs qui stockent les données utilisateur sont appelés revendications. Vous devez savoir quelles revendications votre OP transmet à Looker pour fournir les informations utilisateur que vous souhaitez sur votre instance Looker. Looker exige que les revendications contiennent des informations sur l'adresse e-mail et le nom, mais si vous avez d'autres attributs utilisateur, tels que le fuseau horaire ou le service, Looker devra également identifier les revendications qui contiennent ces informations. Les revendications peuvent être incluses dans la réponse à partir du point de terminaison "Informations sur l'utilisateur" ou du point de terminaison du jeton d'ID. Looker peut mapper les revendications renvoyées par chaque point de terminaison avec les attributs utilisateur de Looker.

De nombreux OPs fournissent des informations sur la configuration d'OpenID Connect sous la forme d'un document de découverte, ce qui vous permet de recueillir tout ou partie des informations nécessaires à la configuration de Looker pour OpenID Connect. Si vous n'avez pas accès à un document de découverte, vous devez obtenir les informations nécessaires auprès de votre opérateur de opérations ou de votre équipe d'authentification interne.

La section suivante provient d'un exemple de document de découverte:

{
  "issuer": "https://accounts.google.com",
  "authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
  "token_endpoint": "https://www.googleapis.com/oauth2/v4/token",
  "userinfo_endpoint": "https://www.googleapis.com/oauth2/v3/userinfo",
  "revocation_endpoint": "https://accounts.google.com/o/oauth2/revoke",
  "jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
  "response_types_supported": [
    "code",
    "token",
    "id_token",
    "code token"
    "code id_token",
    "token id_token",
    "code token id_token",
    "none"
  ],
  "subject_types_supported": [
    "public"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ],
  "scopes_supported": [
    "openid",
    "email",
    "profile"
  ],
  "token_endpoint_auth_methods_supported": [
    "client_secret_post",
    "client_secret_basic"
  ],
  "claims_supported": [
    "aud",
    "email",
    "email_verified",
    "exp",
    "family_name",
    "given_name",
    "iat",
    "iss",
    "locale",
    "name",
    "picture",
    "sub"
  ],

Configurer les paramètres d'authentification OpenID Connect

Utilisez les informations de configuration que vous avez obtenues dans le document de découverte de votre opérateur, dans votre opérateur ou votre équipe d'authentification interne pour saisir les paramètres de connexion dans les champs suivants:

Identifiant: l'identifiant client propre à votre instance Looker. Il doit être fourni par votre opérateur.

Code secret: clé code secret du client propre à votre instance Looker. Il doit être fourni par votre opérateur.

Émetteur: URL sécurisée qui identifie votre opération.

Audience: identifiant indiquant à votre OP qui est le client. Il est souvent identique à la valeur Identifier, mais il peut s'agir d'une valeur différente.

URL d'autorisation: l'URL de l'opération d'authentification où commence la séquence d'authentification. Souvent appelé authorization_endpoint dans un document de découverte.

URL du jeton: URL à laquelle Looker récupère un jeton OAuth après que Looker a été autorisé. Souvent appelé token_endpoint dans un document de découverte.

URL d'informations utilisateur: URL à laquelle Looker récupère des informations utilisateur détaillées. Souvent appelé userinfo_endpoint dans un document de découverte.

Scopes (Champs d'application) : liste des champs d'application séparés par une virgule, utilisés par l'OP pour fournir des informations utilisateur à Looker. Vous devez inclure le champ d'application openid et tous ceux qui incluent les informations requises par Looker, y compris les adresses e-mail, les noms d'utilisateur et tout attribut utilisateur configuré sur votre instance Looker.

Configurer les paramètres d'attribut utilisateur

Dans cette section, vous allez mapper les revendications de votre OP avec les attributs utilisateur de Looker.

Dans la section User Attribute Settings (Paramètres d'attribut utilisateur), saisissez le nom de la revendication de votre OP, contenant les informations correspondantes pour chaque champ. Cela indique à Looker comment mapper ces revendications avec les informations de l'utilisateur Looker au moment de la connexion. Looker ne fait pas particulièrement attention à la façon dont les revendications sont construites. Il est simplement important que les informations de revendication saisies ici correspondent à la manière dont les revendications sont définies dans votre OP.

Revendications standards

Looker requiert un nom d'utilisateur et une adresse e-mail pour l'authentification des utilisateurs. Saisissez les informations de réclamation correspondant à votre OP dans cette section:

Revendication d'adresse e-mail: revendication utilisée par votre opérateur pour les adresses e-mail des utilisateurs, telles que email.

Revendication de prénom: revendication utilisée par votre opérateur pour les prénoms des utilisateurs (given_name, par exemple).

Revendication de nom de famille: déclaration utilisée par votre opérateur pour les noms de famille des utilisateurs (par exemple, family_name).

Notez que certains OP utilisent une seule revendication pour les noms, au lieu de séparer les prénoms et les noms. Si c'est le cas avec votre OP, saisissez la revendication concernant le stockage des noms dans les champs First Name Claim et Last Name Claim. Pour chaque utilisateur, Looker utilisera le contenu jusqu'au premier espace comme prénom et le contenu qui suit comme nom de famille.

Associations d'attributs

Vous pouvez éventuellement utiliser les données de vos revendications OpenID Connect pour renseigner automatiquement des valeurs dans les attributs utilisateur Looker lorsqu'un utilisateur se connecte. Par exemple, si vous avez configuré OpenID Connect pour établir des connexions spécifiques à l'utilisateur avec votre base de données, vous pouvez associer vos revendications OpenID Connect à des attributs utilisateur Looker pour rendre vos connexions de base de données spécifiques à l'utilisateur dans Looker.

Pour associer des revendications aux attributs utilisateur Looker correspondants:

1. Saisissez la revendication telle qu'elle est identifiée par votre OP dans le champ Revendication et l'attribut utilisateur Looker auquel vous souhaitez l'associer dans le champ Attributs utilisateur Looker.
2. Cochez la case Required si vous souhaitez bloquer la connexion de tout compte utilisateur pour lequel aucune valeur n'est spécifiée dans ce champ de revendication.
3. Cliquez sur +, puis répétez ces étapes pour ajouter d'autres paires revendication/attribut.

Notez que certains OPs peuvent avoir des revendications "imbriquées". Exemple :

"zoneinfo": "America/Los Angeles",
"phone_number": "555-1235",
"address": {
  "street_address": "1234 Main Street",
  "locality": "Anyton",
  "region": "IL",
  "postal_code": "60609",
  "country": "US"
},

Dans l'exemple ci-dessus, la revendication locality est imbriquée dans la revendication address. Pour les revendications imbriquées, spécifiez les revendications parentes et imbriquées, en les séparant par une barre oblique ( /). Pour configurer Looker pour la revendication locality ci-dessus, vous devez saisir address/locality.

Groupes et rôles

Looker vous permet de créer des groupes qui dupliquent vos groupes OpenID Connect gérés en externe, puis d'attribuer des rôles Looker aux utilisateurs en fonction de leurs groupes OpenID Connect en miroir. Lorsque vous apportez des modifications à votre appartenance à un groupe OpenID Connect, ces modifications sont automatiquement appliquées à la configuration du groupe Looker

La mise en miroir de groupes OpenID Connect vous permet d'utiliser votre annuaire OpenID Connect défini en externe pour gérer les groupes et les utilisateurs Looker. Vous pouvez ainsi gérer votre appartenance à un groupe pour plusieurs outils Software as a Service (SaaS), tels que Looker, depuis un seul et même endroit.

Si vous activez l'option Dupliquer les groupes OpenID Connect, Looker crée un groupe Looker pour chaque groupe OpenID Connect introduit dans le système. Ces groupes Looker sont visibles sur la page Groupes de la section Administration de Looker. Les groupes permettent d'attribuer des rôles aux membres d'un groupe, de définir le contrôle des accès au contenu et d'attribuer des attributs utilisateur.

Groupes et rôles par défaut

Par défaut, l'option Dupliquer les groupes OpenID Connect est désactivée. Dans ce cas, vous pouvez définir un groupe par défaut pour les nouveaux utilisateurs OpenID Connect. Dans les champs Nouveaux groupes d'utilisateurs et Nouveaux rôles utilisateur, saisissez les noms des groupes ou rôles Looker auxquels vous souhaitez attribuer de nouveaux utilisateurs Looker lors de leur première connexion à Looker:

Ces groupes et rôles sont appliqués aux nouveaux utilisateurs lors de leur connexion initiale. Elles ne sont pas appliquées aux utilisateurs préexistants et ne sont pas réappliquées s'ils sont supprimés après la connexion initiale.

Si, par la suite, vous activez la mise en miroir des groupes OpenID Connect, ces valeurs par défaut seront supprimées pour les utilisateurs à leur prochaine connexion et remplacées par les rôles attribués dans la section Dupliquer les groupes OpenID Connect. Ces options par défaut ne seront plus disponibles ni attribuées. Elles seront entièrement remplacées par la configuration des groupes en miroir.

Activer la mise en miroir de groupes OpenID Connect

Pour dupliquer vos groupes OpenID Connect dans Looker, activez l'option Dupliquer les groupes OpenID Connect:

Revendication de groupes: saisissez la revendication que votre système d'exploitation utilise pour stocker les noms des groupes. Looker crée un groupe Looker pour chaque groupe OpenID Connect introduit dans le système par la revendication de groupes. Ces groupes Looker sont visibles sur la page Groupes de la section Admin de Looker. Vous pouvez utiliser des groupes pour définir des contrôles d'accès au contenu et attribuer des attributs utilisateur.

Nom du groupe préféré / Rôles / Nom du groupe OpenID Connect : cet ensemble de champs vous permet d'attribuer un nom de groupe personnalisé et un ou plusieurs rôles attribués au groupe OpenID Connect correspondant dans Looker.

1. Saisissez le nom du groupe OpenID Connect dans le champ OpenID Connect Group Name (Nom du groupe OpenID Connect). Les utilisateurs OpenID Connect inclus dans le groupe OpenID Connect seront ajoutés au groupe en miroir dans Looker.

2. Saisissez un nom personnalisé pour le groupe en miroir dans le champ Nom personnalisé. Il s'affichera sur la page Groupes de la section Administration de Looker.

3. Dans le champ à droite du champ Nom personnalisé, sélectionnez un ou plusieurs rôles Looker qui seront attribués à chaque utilisateur du groupe.

4. Cliquez sur + pour ajouter d'autres ensembles de champs afin de configurer des groupes en miroir supplémentaires. Si plusieurs groupes sont configurés et que vous souhaitez supprimer la configuration d'un groupe, cliquez sur le signe X à côté des champs du groupe concerné.

Si vous modifiez un groupe en miroir précédemment configuré dans cet écran, la configuration du groupe change, mais le groupe lui-même reste intact. Par exemple, vous pouvez modifier le nom personnalisé d'un groupe, ce qui modifie l'apparence du groupe sur la page Groupes de Looker, mais pas les rôles qui lui sont attribués ni les membres du groupe. Si vous modifiez l'ID du groupe OpenID Connect, le nom et les rôles du groupe seront conservés, mais les membres du groupe seront réattribués en fonction des utilisateurs qui sont membres du groupe OpenID Connect externe qui dispose du nouvel ID de groupe OpenID Connect.

Si vous supprimez un groupe sur cette page, il ne sera plus dupliqué dans Looker, et ses membres n'auront plus les rôles Looker qui leur sont attribués via ce groupe.

Toute modification apportée à un groupe en miroir sera appliquée aux utilisateurs de ce groupe lors de leur prochaine connexion à Looker.

Gestion avancée des rôles

Si vous avez activé l'option Dupliquer les groupes OpenID Connect, Looker affiche ces paramètres. Les options de cette section déterminent la flexibilité dont disposent les administrateurs Looker lors de la configuration des groupes et des utilisateurs Looker qui ont été mis en miroir à partir d'OpenID Connect.

Par exemple, si vous souhaitez que votre configuration de groupe et d'utilisateur Looker corresponde strictement à votre configuration OpenID Connect, activez ces options. Lorsque les trois premières options sont activées, les administrateurs Looker ne peuvent pas modifier l'appartenance aux groupes en miroir. Ils ne peuvent attribuer des rôles aux utilisateurs que via les groupes en miroir OpenID Connect.

Si vous souhaitez avoir davantage de flexibilité pour personnaliser davantage vos groupes dans Looker, désactivez ces options. Vos groupes Looker refléteront toujours votre configuration OpenID Connect, mais vous pourrez effectuer d'autres opérations de gestion des groupes et des utilisateurs dans Looker, par exemple en ajoutant des utilisateurs OpenID Connect à des groupes spécifiques à Looker ou en attribuant des rôles Looker directement aux utilisateurs OpenID Connect.

Pour les nouvelles instances Looker ou les instances pour lesquelles aucun groupe en miroir n'a été configuré précédemment, ces options sont désactivées par défaut.

Pour les instances Looker existantes pour lesquelles des groupes en miroir sont actuellement configurés, ces options sont activées par défaut.

Si vous activez des paramètres plus restrictifs, les utilisateurs perdront leur appartenance à un groupe ou les rôles attribués qui ont été configurés directement dans Looker. Cela se produit la prochaine fois que ces utilisateurs se connectent à Looker.

La section Gestion avancée des rôles contient les options suivantes:

Empêcher les utilisateurs OpenID Connect individuels de recevoir des rôles directs: l'activation de cette option empêche les administrateurs Looker d'attribuer des rôles Looker directement aux utilisateurs OpenID Connect. Les utilisateurs OpenID Connect n'obtiendront des rôles que via leur appartenance à des groupes. Si les utilisateurs OpenID Connect sont autorisés à être membres de groupes Looker natifs (non dupliqués), ils peuvent toujours hériter de leurs rôles à partir des groupes OpenID Connect en miroir et des groupes Looker natifs. Les utilisateurs d'OpenID Connect qui se sont vu attribuer directement ce rôle seront supprimés la prochaine fois qu'ils se connecteront.

Si cette option est désactivée, les administrateurs Looker peuvent attribuer des rôles Looker directement aux utilisateurs OpenID Connect comme s'ils étaient configurés de manière native dans Looker.

Empêcher l'appartenance directe aux groupes non-OpenID Connect: l'activation de cette option empêche les administrateurs Looker d'ajouter directement des utilisateurs OpenID Connect aux groupes Looker natifs. Si les groupes OpenID Connect en miroir sont autorisés à être membres de groupes Looker natifs, les utilisateurs OpenID Connect peuvent conserver leur adhésion à n'importe quel groupe Looker parent. Tous les utilisateurs OpenID Connect précédemment affectés à des groupes Looker natifs seront supprimés de ces groupes la prochaine fois qu'ils se connecteront.

Si cette option est désactivée, les administrateurs Looker peuvent ajouter des utilisateurs OpenID Connect directement aux groupes Looker natifs.

Empêcher l'héritage des rôles des groupes non-OpenID Connect: l'activation de cette option empêche les membres de groupes OpenID Connect en miroir d'hériter des rôles des groupes Looker natifs. Tous les utilisateurs OpenID Connect qui ont précédemment hérité des rôles d'un groupe Looker parent perdront ces rôles lors de leur prochaine connexion.

Si cette option est désactivée, les groupes OpenID Connect en miroir ou les utilisateurs OpenID Connect ajoutés en tant que membres d'un groupe Looker natif héritent des rôles attribués au groupe Looker parent.

Authentification requise par un rôle: si cette option est activée, un rôle doit être attribué aux utilisateurs d'OpenID Connect. Les utilisateurs OpenID Connect auxquels aucun rôle n'a été attribué ne pourront pas du tout se connecter à Looker.

Si cette option est désactivée, les utilisateurs OpenID Connect peuvent s'authentifier auprès de Looker, même s'ils n'ont aucun rôle attribué. Un utilisateur sans rôle attribué ne pourra consulter aucune donnée ni effectuer d'action dans Looker, mais il pourra s'y connecter.

Désactiver la mise en miroir de groupes OpenID Connect

Si vous souhaitez arrêter de dupliquer vos groupes OpenID Connect dans Looker, désactivez l'option Dupliquer les groupes OpenID Connect. Tous les groupes OpenID Connect en miroir vides seront supprimés.

Les groupes OpenID Connect en miroir non vides resteront disponibles pour la gestion de contenu et la création de rôles. Toutefois, les utilisateurs ne peuvent pas être ajoutés à des groupes OpenID Connect dupliqués, ni supprimés de ceux-ci.

Configurer les options de migration

Comme expliqué dans cette section, Looker vous recommande d'activer l'option Autre connexion et de proposer une stratégie de fusion pour les utilisateurs existants.

Autre connexion pour les utilisateurs spécifiés

Les connexions par adresse e-mail/mot de passe Looker sont toujours désactivées pour les utilisateurs standards lorsque l'authentification OpenID Connect est activée. L'option Autre connexion pour les utilisateurs spécifiés active une connexion alternative basée sur les adresses e-mail à l'aide de /login/email pour les administrateurs et pour les utilisateurs spécifiés disposant de l'autorisation login_special_email.

L'activation de cette option est utile comme solution de secours lors de la configuration d'OpenID Connect si des problèmes de configuration OpenID Connect surviennent plus tard, ou si vous devez prendre en charge des utilisateurs qui n'ont pas de compte dans votre répertoire OpenID Connect.

Pour activer des connexions secondaires à l'aide de l'API Looker, consultez la page de documentation Activer l'option de connexion secondaire.

Spécifier la méthode utilisée pour fusionner des utilisateurs OpenID Connect avec un compte Looker

Dans le champ Fusionner les utilisateurs à l'aide, spécifiez la méthode à utiliser pour fusionner une première connexion OpenID Connect à un compte utilisateur existant. Vous pouvez fusionner des utilisateurs des systèmes suivants:

• Adresse e-mail/Mot de passe Looker (non disponible pour Looker (Google Cloud Core))
• Google
• LDAP (non disponible pour Looker (Google Cloud Core))
• SAML

Si vous avez mis en place plusieurs systèmes d'authentification, vous pouvez spécifier plusieurs systèmes à fusionner dans ce champ. Looker recherchera les utilisateurs dans les systèmes listés dans l'ordre dans lequel ils sont spécifiés. Par exemple, supposons que vous ayez créé des utilisateurs avec une adresse e-mail/mot de passe Looker, puis que vous ayez activé LDAP et que vous souhaitiez maintenant utiliser OpenID Connect. Dans l'exemple ci-dessus, Looker fusionne d'abord par adresse e-mail/mot de passe, puis par LDAP.

Lorsqu'un utilisateur se connecte pour la première fois avec OpenID Connect, cette option permet de connecter l'utilisateur à son compte existant en recherchant le compte avec l'adresse e-mail correspondante. Si aucun compte n'existe pour l'utilisateur, un nouveau compte est créé.

Fusionner des utilisateurs lors de l'utilisation de Looker (Google Cloud Core)

Lorsque vous utilisez Looker (Google Cloud Core) et OpenID Connect, la fusion s'effectue comme décrit dans la section précédente. Toutefois, cela n'est possible que si l'une des deux conditions suivantes est remplie:

• Condition 1: les utilisateurs s'authentifient dans Looker (Google Cloud Core) à l'aide de leur identité Google via le protocole OpenID Connect.

• Condition 2 : Avant de sélectionner l'option de fusion, vous avez effectué les deux étapes ci-dessous.

  1. les identités des utilisateurs fédérés dans Google Cloud à l'aide de Cloud Identity ;
  2. Configurez l'authentification OAuth comme méthode d'authentification de secours à l'aide des utilisateurs fédérés.

Si la configuration ne remplit pas l'une de ces deux conditions, l'option Fusionner les utilisateurs avec n'est pas disponible.

Lors de la fusion, Looker recherche les enregistrements d'utilisateurs qui partagent exactement la même adresse e-mail.

Tester l'authentification des utilisateurs

Tout en spécifiant cette configuration, cliquez sur le bouton Tester pour tester votre configuration OpenID Connect.

Lisez attentivement les résultats du test : certaines parties du test peuvent réussir même si d'autres échouent.

Les tests redirigeront les utilisateurs vers les points de terminaison et ouvriront un nouvel onglet du navigateur. L'onglet affiche les éléments suivants:

• si Looker a pu communiquer avec les différents points de terminaison et valider
• Une trace de la réponse du point de terminaison d'authentification
• Informations utilisateur que Looker récupère depuis le point de terminaison des informations utilisateur
• Versions décodées et brutes du jeton d'ID reçu

Vous pouvez utiliser ce test pour vérifier l'exactitude des informations reçues des différents points de terminaison et pour résoudre les éventuelles erreurs.

Conseils :

• Vous pouvez exécuter ce test à tout moment, même si OpenID Connect est partiellement configuré. Il peut être utile d'exécuter un test lors de la configuration pour identifier les paramètres à configurer.
• Le test utilise les paramètres définis sur la page Authentification OpenID Connect, même s'ils n'ont pas été enregistrés. Le test n'aura aucune incidence sur les paramètres de cette page et ne les modifiera pas.

Enregistrer et appliquer les paramètres

Assurez-vous de tester votre configuration au préalable et de lire attentivement les résultats afin de vérifier que toutes les parties du test ont réussi. L'enregistrement d'informations de configuration OpenID Connect incorrectes peut vous empêcher et empêcher d'autres utilisateurs d'accéder à Looker.

Une fois que vous avez saisi vos informations et que tous les tests sont réussis, cochez la case I have confirm the configuration above and want to enable it world (J'ai confirmé la configuration ci-dessus et je souhaite l'appliquer globalement), puis cliquez sur Update Settings (Mettre à jour les paramètres) pour enregistrer.