Ce document explique comment s'authentifier auprès de Google Cloud à partir de l'édition SAP BTP du SDK ABAP pour Google Cloud.
Les applications développées à l'aide de l'édition SAP BTP du SDK ABAP pour Google Cloud nécessitent une authentification pour se connecter aux API Google Cloud .
Pour l'authentification et l'autorisation d'accès aux API Google Cloud , le SDK utilise principalement des jetons. Le SDK permet également d'authentifier des clés API auprès des API Google Cloud qui utilisent des clés API. Seules quelques API Google Cloud utilisent des clés API pour l'authentification. (par exemple, Google Maps Platform). Consultez la documentation sur l'authentification concernant le service ou l'API que vous souhaitez utiliser pour déterminer s'il est compatible avec les clés API.
En fonction des API Google Cloud auxquelles vous devez accéder, vous pouvez choisir une méthode d'authentification appropriée. La liste suivante récapitule les différentes méthodes d'authentification compatibles avec le SDK :
- Authentification à l'aide de jetons via la fédération d'identité de charge de travail
- S'authentifier à l'aide d'une clé API stockée dans Secret Manager
Authentification à l'aide de jetons via la fédération d'identité de charge de travail
La fédération d'identité de charge de travail respecte la spécification d'échange de jetons OAuth 2.0. Vous fournissez un identifiant provenant de votre fournisseur d'identité (IdP) au service de jetons de sécurité, qui vérifie l'identité sur l'identifiant, puis renvoie en échange un jeton d'accès fédéré. Vous pouvez utiliser ce jeton d'accès fédéré directement avec les services compatibles ou pour usurper l'identité d'un compte de service et obtenir un jeton d'accès de courte durée. Le jeton d'accès de courte durée vous permet d'appeler les API Google Cloud auxquelles le compte de service a accès.
Pour l'authentification à l'aide de jetons via la fédération d'identité de charge de travail, activez les API Google Cloud suivantes:
Pour savoir comment activer les APIGoogle Cloud , consultez Activer des API.
Pour l'authentification à l'aide de jetons via la fédération d'identité de charge de travail, les étapes de configuration de haut niveau sont les suivantes :
- Dans SAP BTP, créez une instance de service d'autorisation et de confiance (XSUAA).
- Dans Google Cloud, créez un compte de service.
- Dans Google Cloud, configurez la fédération d'identité de charge de travail.
- Dans SAP BTP, configurez le SDK ABAP pour Google Cloud afin d'utiliser la fédération d'identité de charge de travail.
Créer une instance de service d'autorisation et de confiance (XSUAA)
Pour fournir les services nécessaires à l'application backend, créez une instance de service d'autorisation et de confiance (XSUAA) en procédant comme suit :
- Connectez-vous à SAP BTP Cockpit. Pour en savoir plus, consultez la page SAP Accéder au cockpit.
- Sélectionnez votre sous-compte.
Créez une instance de service XSUAA :
- Accédez à Services > Place de marché de services.
- Recherchez et sélectionnez Authorization and Trust Management Service (XSUAA) (Service d'autorisation et de gestion de la confiance (XSUAA)).
- Cliquez sur Créer.
Dans la boîte de dialogue Nouvelle instance ou abonnement qui s'affiche, saisissez une valeur pour les champs suivants :
- Forfait : sélectionnez Application.
- Environnement d'exécution : sélectionnez Cloud Foundry.
- Espace : sélectionnez un nom d'espace.
- Nom de l'instance : saisissez un nom pour l'instance de service XSUAA.
Cliquez sur Créer.
Créez une clé de service :
- Accédez à Instances et abonnements > Instances.
- Sélectionnez l'instance de service XSUAA que vous avez créée à l'étape précédente, puis cliquez sur l'onglet Clés de service.
- Cliquez sur Créer.
- Saisissez un nom de clé de service, puis cliquez sur Créer.
- Pour la clé de service que vous venez de créer, cliquez sur le menu Actions ( ), puis sélectionnez Afficher.
À partir des identifiants de la clé de service, notez les points suivants :
url
clientid
clientsecret
Vous avez besoin de ces identifiants de clé de service lorsque vous configurez l'authentification auprès de Google Cloud.
Créer un compte de service
Dans la console Google Cloud , créez un compte de service IAM. Ce compte de service doit être un compte principal dans le projet Google Cloud contenant les APIGoogle Cloud que vous prévoyez d'utiliser à l'aide du SDK.
Dans la console Google Cloud , sélectionnez le projet dans lequel vous souhaitez créer le compte de service.
Si vous créez le compte de service dans le même projet qui contient les API Google Cloud , le compte de service est automatiquement ajouté en tant que compte principal au projet.
Si vous créez le compte de service dans un projet autre que celui dans lequel les APIGoogle Cloud sont activées, vous devez ajouter le compte de service à ce projet lors d'une étape supplémentaire. Pour en savoir plus, consultez la section Ajouter le compte de service au projet Google Cloud .
Créez un compte de service pour l'authentification et l'autorisation d'accès aux API Google Cloud .
Accéder à la page "Comptes de service"
Pour en savoir plus sur la création d'un compte de service, consultez la page Créer un compte de service.
Dans la console Google Cloud , accordez au compte de service les rôles IAM requis pour accéder aux fonctionnalités de l'API. Pour comprendre les exigences de rôle pour les API Google Cloud , consultez la documentation de l'API concernée et suivez le principe du moindre privilège. Pour en savoir plus sur les rôles prédéfinis spécifiques à l'API, consultez la documentation de référence sur les rôles IAM de base et prédéfinis.
Si vous avez créé le compte de service dans un projet différent de celui contenant les API Google Cloud que vous prévoyez d'utiliser à l'aide du SDK, notez le nom du compte de service. Ce nom doit être spécifié lors de l'ajout du compte de service à ce projet.
Ajoutez le compte de service au projet Google Cloud .
Si vous avez créé le compte de service du SDK ABAP pour Google Cloud dans un projet autre que celui contenant les API Google Cloud que vous prévoyez d'utiliser à l'aide du SDK, vous devez ajouter le compte de service au projet Google Cloud contenant les API Google Cloud .
Si vous avez créé le compte de service dans le même projet qui contient les APIGoogle Cloud , vous pouvez ignorer cette étape.
Pour ajouter un compte de service existant au projet Google Cloud contenant les API Google Cloud , procédez comme suit:
Dans la console Google Cloud , accédez à la page Autorisations IAM.
Vérifiez que le nom du projet contenant les APIGoogle Cloud cibles s'affiche en haut de la page. Exemple :
Autorisations pour le projet "
PROJECT_NAME
"Si ce n'est pas le cas, changez de projet.
Sur la page des autorisations IAM, cliquez sur
Accorder l'accès.Dans la boîte de dialogue Accorder l'accès à "
PROJECT_NAME
" qui s'affiche, procédez comme suit :- Dans le champ Nouveaux comptes principaux, spécifiez le nom du compte de service.
Dans le champ Sélectionner un rôle, spécifiez un rôle approprié. Par exemple, pour Pub/Sub, pour modifier les sujets et les abonnements, ainsi que pour accéder à la publication et à la consultation de messages, vous pouvez spécifier le rôle "Éditeur Pub/Sub" (
roles/pubsub.editor
).Pour en savoir plus sur les rôles prédéfinis spécifiques à l'API, consultez la documentation de référence sur les rôles IAM de base et prédéfinis.
Ajoutez des rôles supplémentaires selon vos besoins pour l'utilisation de l'API. Nous vous recommandons d'appliquer le principe du moindre privilège.
Cliquez sur Enregistrer. Le compte de service apparaît dans la liste des comptes principaux du projet sur la page IAM.
Le compte de service permet désormais d'accéder aux API Google Cloud de ce projet.
Configurer la fédération d'identité de charge de travail
Pour obtenir les autorisations nécessaires pour configurer la fédération d'identité de charge de travail, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet :
- Administrateur de pools Workload Identity (
roles/iam.workloadIdentityPoolAdmin
) - Administrateur de compte de service (
roles/iam.serviceAccountAdmin
)
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Pour configurer la fédération d'identité de charge de travail, procédez comme suit :
Dans la console Google Cloud , accédez à la page Nouveau fournisseur et pool de charges de travail.
Accéder au nouveau fournisseur de charges de travail et au pool
Dans la section Créer un pool d'identités, saisissez une valeur pour les champs suivants :
- Nom : nom du pool. Le nom est également utilisé comme ID du pool. Vous ne pourrez pas modifier l'ID du pool par la suite.
- Description : texte décrivant l'objectif du pool.
Cliquez sur Continuer.
Sous Ajouter un fournisseur au pool, ajoutez les paramètres du fournisseur :
- Dans le champ Sélectionner un fournisseur, sélectionnez OpenID Connect (OIDC).
Saisissez les informations suivantes sur le fournisseur :
- Nom du fournisseur : saisissez un nom pour le fournisseur.
- Issuer(URL) (Émetteur(URL)) : saisissez l'URL des identifiants de clé de service que vous avez notés lors de la création de l'instance de service XSUAA. Ajoutez
/oauth/token
à l'URL. - Audience : sélectionnez Audience autorisée et saisissez l'ID client à partir des identifiants de la clé de service que vous avez notés lors de la création de l'instance de service XSUAA.
Cliquez sur Continuer.
Sous Configurer les attributs du fournisseur, dans le champ OIDC 1, saisissez
assertion.sub
.Cliquez sur Enregistrer.
Remarques :
- ID de pool
- ID du fournisseur
Vous aurez besoin de ces ID lorsque vous configurerez l'authentification dans l'application Fiori de configuration du SDK.
Autoriser les identités externes à emprunter l'identité d'un compte de service
Pour emprunter l'identité des comptes de service provenant de charges de travail fédérées, accordez le rôle utilisateur Workload Identity (roles/iam.workloadIdentityUser
) au compte de service. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Pour autoriser les identités externes à emprunter l'identité d'un compte de service, procédez comme suit :
Dans la console Google Cloud , accédez à la page Pools d'identités de charge de travail.
Sélectionnez le pool d'identités de charge de travail que vous avez créé dans la section Configurer la fédération d'identité de charge de travail.
Pour accorder l'accès au pool d'identités de charge de travail sélectionné, cliquez sur
Accorder l'accès.Dans la liste Compte de service, sélectionnez le compte de service ayant accès aux API Google Cloud . Si vous utilisez plusieurs comptes de service, ajoutez-les tous ici.
Dans le champ Nom de l'attribut, sélectionnez Subject (Sujet).
Dans le champ Valeur d'attribut, saisissez l'ID client à partir des identifiants de clé de service que vous avez notés lors de la création de l'instance de service XSUAA.
Cliquez sur Enregistrer.
Dans la boîte de dialogue Configurer votre application qui s'affiche, cliquez sur Ignorer.
Configurer le SDK ABAP pour Google Cloud afin d'utiliser la fédération d'identité de charge de travail
Vous créez des artefacts de gestion des communications à l'aide des applications de gestion des communications SAP.
Pour créer des artefacts de gestion des communications pour l'authentification à l'aide du service XSUAA et de la fédération d'identité de charge de travail, utilisez le scénario de communication /GOOG/COM_SDK_WIF
fourni avec le SDK ABAP pour Google Cloud.
Vous allez ensuite utiliser la configuration du SDK de l'application Fiori pour créer un plan de communication. Dans le plan de communication, vous définissez une clé client unique que vous utilisez dans votre programme ABAP pour vous authentifier auprès de Google Cloud.
- Accéder à la plate-forme de lancement SAP Fiori du système BTP ABAP dans lequel le SDK ABAP pour Google Cloud est installé.
- Accédez à Tous les espaces > Administration > Gestion de la communication.
- Créez un système de communication :
- Ouvrez l'application Systèmes de communication.
- Cliquez sur Nouveau.
- Dans la boîte de dialogue Nouveau système de communication qui s'affiche, saisissez une valeur pour les champs suivants :
- ID système : saisissez un ID système.
- Nom du système : saisissez un nom du système.
- Cliquez sur Créer.
- Dans le champ Host name (Nom de l'hôte), saisissez l'URL sans
https://
à partir des identifiants de clé de service que vous avez notés lors de la création de l'instance de service XSUAA. - Dans le champ Port, saisissez
443
. - Dans l'onglet Utilisateurs pour la communication sortante, cliquez sur Ajouter.
- Spécifiez les informations suivantes :
- Méthode d'authentification : sélectionnez Nom d'utilisateur et mot de passe.
- Nom d'utilisateur/ID client : saisissez l'ID client à partir des identifiants de clé de service que vous avez notés lors de la création de l'instance de service XSUAA.
- Mot de passe : saisissez le code secret du client à partir des identifiants de clé de service que vous avez notés lors de la création de l'instance de service XSUAA.
- Cliquez sur Enregistrer.
Créez une configuration de communication :
- Ouvrez l'application Configuration de communication.
- Cliquez sur New (Nouveau).
Dans la boîte de dialogue Nouvelle configuration de communication qui s'affiche, saisissez une valeur pour les champs suivants :
- Scénario : sélectionnez Authentification à l'aide de la fédération d'identité de charge de travail (
/GOOG/COM_SDK_WIF
). - Nom de la configuration : saisissez un nom pour la configuration de communication.
- Scénario : sélectionnez Authentification à l'aide de la fédération d'identité de charge de travail (
Cliquez sur Créer.
Pour la configuration de la communication qui s'affiche, dans le champ Système de communication, sélectionnez le système de communication que vous avez créé à l'étape précédente.
Fournissez les informations suivantes dans la section Configurer la fédération d'identité de charge de travail :
- ID du pool de fédération d'identité de charge de travail : saisissez l'ID du pool de fédération d'identité de charge de travail.
- ID du fournisseur de fédération d'identité de charge de travail : saisissez l'ID du fournisseur de fédération d'identité de charge de travail.
Sous Services sortants, dans le champ Chemin d'accès, saisissez
/oauth/token
.Cliquez sur Enregistrer.
Créez une clé client et un plan de communication :
- Accédez à l'espace contenant les applications Fiori pour la configuration du SDK.
- Ouvrez l'application SDK Google : configuration principale.
- Cliquez sur Créer.
- Dans la boîte de dialogue Créer qui s'affiche, saisissez un nom de clé client.
- Cliquez sur Continuer.
- Spécifiez les informations suivantes :
- Compte de service: saisissez le compte de service autorisé à accéder aux APIGoogle Cloud .
- ID du projet: saisissez l'ID du projet Google Cloud . Pour en savoir plus sur l'ID de projet, consultez la section Identifier des projets.
- Numéro du projet: saisissez le numéro du projet Google Cloud . Pour en savoir plus sur le numéro de projet, consultez la section Identifier des projets.
- Type d'authentification : sélectionnez
W
(Fédération d'identité de charge de travail).
- Pour le plan de communication qui s'affiche, dans le champ Configuration de la communication, sélectionnez la configuration que vous avez créée à l'étape précédente.
- Cliquez sur Créer. Une boîte de dialogue s'affiche confirmant que vous acceptez d'utiliser le SDK ABAP pour Google Cloud conformément aux conditions d'utilisation standards de Google Cloud .
- Pour valider la configuration de l'authentification, cliquez sur Vérifier la connexion. Une coche verte à côté d'une entrée indique que la configuration a réussi. En cas d'erreur, consultez la page Dépannage pour obtenir des conseils sur la résolution des erreurs courantes.
S'authentifier à l'aide d'une clé API stockée dans Secret Manager
Lorsque vous utilisez des clés API pour vous authentifier auprès de Google Cloud, vous pouvez stocker vos clés API de manière sécurisée avec le service Secret Manager de Google Cloud.
Pour l'authentification à l'aide d'une clé API stockée dans Secret Manager, activez les API Google Cloud suivantes:
Pour savoir comment activer les APIGoogle Cloud , consultez Activer des API.
Pour obtenir les autorisations nécessaires pour configurer Secret Manager et Workload Identity Federation, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet :
- Rôle Administrateur Secret Manager (
roles/secretmanager.admin
) - Administrateur de pools Workload Identity (
roles/iam.workloadIdentityPoolAdmin
) - Administrateur de compte de service (
roles/iam.serviceAccountAdmin
)
Pour l'authentification à l'aide d'une clé API stockée dans Secret Manager, les étapes de configuration de haut niveau sont les suivantes :
- Dans SAP BTP, créez une instance de service d'autorisation et de confiance (XSUAA).
- Dans Google Cloud, créez un compte de service.
- Dans Google Cloud, configurez la fédération d'identité de charge de travail.
- Dans Google Cloud, créez une clé API.
- Dans Google Cloud, créez un secret et stockez la clé API.
- Dans SAP BTP, configurez le SDK ABAP pour Google Cloud afin d'utiliser la clé API de Secret Manager.
Lorsque vous vous authentifiez à l'aide d'une clé API stockée dans Secret Manager, vous pouvez réutiliser l'instance de service XSUAA, le compte de service, le pool de fédération d'identité de charge de travail et le fournisseur que vous avez créés pour l'authentification à l'aide de jetons.
Créer une clé API
Pour vous authentifier à l'aide d'une clé API, vous devez créer une clé API.
La chaîne de clé API est une chaîne chiffrée, par exemple AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe
.
Le SDK ABAP pour Google Cloud utilise la chaîne de clé API dans la requête HTTP pour s'authentifier de manière sécurisée lors de l'appel d'une API Google Cloud .
Google Cloud propose plusieurs façons de créer des clés API.
Pour créer des clés API à l'aide de la console Google Cloud , procédez comme suit:
Dans la console Google Cloud , accédez à la page Identifiants:
Cliquez sur Créer des identifiants, puis sélectionnez Clé API dans le menu.
La boîte de dialogue Clé API créée affiche la chaîne de clé API. Copiez votre chaîne de clé et conservez-la à un emplacement sécurisé. Vous avez besoin de cette clé API pour configurer l'authentification auprès de Google Cloud.
Par défaut, les clés API ne sont pas restreintes. Nous vous recommandons de limiter les clés API en sélectionnant les API auxquelles cette clé API peut être utilisée. Pour en savoir plus sur l'ajout de restrictions d'API, consultez la section Ajouter des restrictions d'API.
Créer un secret et stocker la clé API
Dans la console Google Cloud , accédez à la page Secret Manager.
Cliquez sur Créer un secret.
Sur la page Créer un secret, sous Nom, saisissez le nom du secret. Un nom de secret peut contenir des lettres majuscules et minuscules, des chiffres, des traits d'union et des traits de soulignement. La longueur maximale autorisée pour un nom est de 255 caractères.
Dans le champ Valeur du secret, saisissez la clé API que vous avez créée dans la section Créer une clé API.
Cliquez sur Créer un secret. Le contenu de votre secret est stocké dans une version de secret.
Cliquez sur le nom du secret que vous avez créé.
Dans l'onglet Versions qui s'affiche, notez les points suivants :
- Nom du secret
- Version
Vous avez besoin de ces informations secrètes lorsque vous configurez l'authentification auprès de Google Cloud.
Configurer le SDK ABAP pour Google Cloud afin d'utiliser la clé API de Secret Manager
Vous créez des artefacts de gestion des communications à l'aide des applications de gestion des communications SAP.
Pour créer des artefacts de gestion des communications pour l'authentification à l'aide du service XSUAA et de la fédération d'identité de charge de travail, utilisez le scénario de communication /GOOG/COM_SDK_APIKSM
fourni avec le SDK ABAP pour Google Cloud.
Vous allez ensuite utiliser la configuration du SDK de l'application Fiori pour créer un plan de communication. Dans le plan de communication, vous définissez une clé client unique que vous utilisez dans votre programme ABAP pour vous authentifier auprès de Google Cloud.
- Accéder à la plate-forme de lancement SAP Fiori du système BTP ABAP dans lequel le SDK ABAP pour Google Cloud est installé.
- Accédez à Tous les espaces > Administration > Gestion de la communication.
- Créez un système de communication :
- Ouvrez l'application Systèmes de communication.
- Cliquez sur Nouveau.
- Dans la boîte de dialogue Nouveau système de communication qui s'affiche, saisissez une valeur pour les champs suivants :
- ID système : saisissez un ID système.
- Nom du système : saisissez un nom du système.
- Cliquez sur Créer.
- Dans le champ Host name (Nom de l'hôte), saisissez l'URL sans
https://
à partir des identifiants de clé de service que vous avez notés lors de la création de l'instance de service XSUAA. - Dans le champ Port, saisissez
443
. - Dans l'onglet Utilisateurs pour la communication sortante, cliquez sur Ajouter.
- Spécifiez les informations suivantes :
- Méthode d'authentification : sélectionnez Nom d'utilisateur et mot de passe.
- Nom d'utilisateur/ID client : saisissez l'ID client à partir des identifiants de clé de service que vous avez notés lors de la création de l'instance de service XSUAA.
- Mot de passe : saisissez le code secret du client à partir des identifiants de clé de service que vous avez notés lors de la création de l'instance de service XSUAA.
- Cliquez sur Enregistrer.
Créez une configuration de communication :
- Ouvrez l'application Configuration de communication.
- Cliquez sur New (Nouveau).
Dans la boîte de dialogue Nouvelle configuration de communication qui s'affiche, saisissez les informations suivantes :
- Scénario : sélectionnez Authentification à l'aide d'une clé API avec Secret Manager (
/GOOG/COM_SDK_APIKSM
). - Nom de la configuration : saisissez un nom pour la configuration de communication.
- Scénario : sélectionnez Authentification à l'aide d'une clé API avec Secret Manager (
Cliquez sur Créer.
Pour la configuration de la communication qui s'affiche, dans le champ Système de communication, sélectionnez le système de communication que vous avez créé à l'étape précédente.
Sous Propriétés supplémentaires, indiquez une valeur pour les propriétés suivantes :
- Nom du secret : saisissez le nom du secret dans la section Créer un secret et stocker la clé API.
- Version du secret : vous pouvez éventuellement saisir la version du secret provenant de la section Créer un secret et stocker la clé API. Si vous ne fournissez pas de version, la clé API de la dernière version secrète est utilisée.
- ID du pool de fédération d'identité de charge de travail : saisissez l'ID du pool de fédération d'identité de charge de travail dans la section Configurer la fédération d'identité de charge de travail.
- ID du fournisseur de fédération d'identité de charge de travail : saisissez l'ID du fournisseur de fédération d'identité de charge de travail dans la section Configurer la fédération d'identité de charge de travail.
Sous Services sortants, dans le champ Chemin d'accès, saisissez
/oauth/token
.Cliquez sur Enregistrer.
Créez une clé client et un plan de communication :
- Accédez à l'espace contenant les applications Fiori pour la configuration du SDK.
- Ouvrez l'application SDK Google : configuration principale.
- Cliquez sur Créer.
- Dans la boîte de dialogue Créer qui s'affiche, saisissez un nom de clé client.
- Cliquez sur Continuer.
Spécifiez les informations suivantes :
- Compte de service: saisissez le compte de service autorisé à accéder aux API Google Cloud .
- ID du projet: saisissez l'ID du projet Google Cloud . Pour en savoir plus sur l'ID de projet, consultez la section Identifier des projets.
- Numéro du projet: saisissez le numéro du projet Google Cloud . Pour en savoir plus sur le numéro de projet, consultez la section Identifier des projets.
- Type d'authentification : sélectionnez
V
(Clé API à l'aide de Secret Manager).
Pour le plan de communication qui s'affiche, dans le champ Configuration de la communication, sélectionnez la configuration que vous avez créée à l'étape précédente.
Cliquez sur Créer. Une boîte de dialogue s'affiche confirmant que vous acceptez d'utiliser le SDK ABAP pour Google Cloud conformément aux conditions d'utilisation standards de Google Cloud .
Pour valider la configuration de l'authentification, cliquez sur Vérifier la connexion. Une coche verte à côté d'une entrée indique que la configuration a réussi. En cas d'erreur, consultez la page Dépannage pour obtenir des conseils sur la résolution des erreurs courantes.
Obtenir de l'aide
Procédez comme suit si vous avez besoin d'aide pour résoudre les problèmes liés au SDK ABAP pour Google Cloud :
Consultez le guide de dépannage du SDK ABAP pour Google Cloud.
Posez vos questions concernant le SDK ABAP pour Google Cloud et discutez de celui-ci avec la communauté sur les forums Cloud.
Recueillez toutes les informations de diagnostic disponibles et contactez Cloud Customer Care. Pour savoir comment contacter le service client, consultez la page Obtenir de l'aide pour SAP sur Google Cloud.