Dokumen ini menjelaskan cara melakukan autentikasi ke Google Cloud dari ABAP SDK edisi cloud lokal atau edisi cloud apa pun untuk Google Cloud.
Aplikasi yang dikembangkan menggunakan ABAP SDK untuk Google Cloud memerlukan autentikasi agar dapat terhubung ke Google Cloud API. SDK ini memungkinkan penggunaan praktik terbaik yang direkomendasikan Google Cloud untuk autentikasi.
Untuk autentikasi dan otorisasi agar dapat mengakses Google Cloud API, SDK terutama menggunakan token. Selain itu, SDK juga mendukung kunci API untuk melakukan autentikasi ke Google Cloud API yang menggunakan kunci API.
Bergantung pada Google Cloud API yang perlu Anda akses, lingkungan tempat sistem SAP Anda dihosting, dan persyaratan keamanan sistem SAP, Anda dapat memilih jenis autentikasi yang sesuai. Tabel berikut meringkas jenis autentikasi yang didukung berdasarkan lokasi hosting sistem SAP Anda:
Lokasi sistem SAP | Authentication type | Petunjuk |
---|---|---|
SAP RISE, di mana pun server tersebut ditempatkan | Token Web JSON (JWT) | Melakukan autentikasi menggunakan JSON Web Token (JWT) |
Sistem SAP yang dihosting di VM Compute Engine | Token akses | Mengautentikasi menggunakan token akses |
Sistem SAP yang dihosting di luar Google Cloud | Token Web JSON (JWT) | Melakukan autentikasi menggunakan JSON Web Token (JWT) |
Token akses | Mengautentikasi menggunakan token melalui Workload Identity Federation |
Autentikasi ke Google Cloud API menggunakan kunci API
Hanya beberapa Google Cloud API yang menggunakan kunci API untuk autentikasi, misalnya, Google Maps Platform. Tinjau dokumentasi autentikasi untuk layanan atau API yang ingin Anda gunakan untuk mengetahui apakah layanan atau API tersebut mendukung kunci API atau tidak. Di mana pun sistem SAP Anda dihosting, Anda dapat menggunakan kunci API untuk autentikasi selama API yang ingin Anda gunakan mendukung kunci API.
Untuk melakukan autentikasi ke Google Cloud API menggunakan kunci API, gunakan salah satu metode berikut:
- Mengautentikasi dengan menggunakan kunci API yang disimpan di SAP SSF
- Mengautentikasi dengan menggunakan kunci API yang disimpan di Secret Manager
Autentikasi ke Google Workspace API menggunakan kredensial klien OAuth 2.0
Untuk mengakses Google Workspace API, Anda dapat menggunakan kredensial klien OAuth 2.0. Kredensial klien OAuth 2.0 memungkinkan Anda mengambil token dalam konteks pengguna akhir, seperti token yang diperlukan untuk mengakses Google Spreadsheet. Di mana pun sistem SAP dihosting, Anda dapat menggunakan kredensial klien OAuth 2.0 untuk autentikasi ke Google Workspace API selama sistem tersebut mendukung OAuth 2.0.
Untuk mengetahui informasi tentang cara menyiapkan autentikasi ke Google Workspace API, lihat Mengautentikasi ke Google Workspace API menggunakan kredensial klien OAuth 2.0.
Mengautentikasi menggunakan token akses
Bagian ini menunjukkan cara menyiapkan autentikasi untuk mengakses Google Cloud API dengan menggunakan token ketika sistem SAP Anda dihosting di instance VM Compute Engine.
Di Konsol Google Cloud, aktifkan IAM Service Account Credentials API untuk project Google Cloud yang memerlukan autentikasi. Bersama dengan IAM Service Account Credentials API, Anda harus mengaktifkan API lain yang didukung yang ingin Anda akses menggunakan SDK.
Untuk mengetahui informasi tentang cara mengaktifkan Google Cloud API, lihat Mengaktifkan API.
Di Konsol Google Cloud, buat akun layanan IAM untuk instance VM host.
Untuk mengetahui informasi tentang cara membuat akun layanan, lihat Membuat akun layanan.
Berikan peran
Service Account Token Creator
ke akun layanan. Untuk mengetahui petunjuknya, lihat Memberikan satu peran.Tambahkan akun layanan ke instance VM tempat workload SAP Anda dijalankan. Selain itu, tetapkan cakupan akses VM ke
cloud-platform
.- Jika Anda menentukan akun layanan menggunakan Konsol Google Cloud, cakupan akses VM akan otomatis ditetapkan secara default ke cakupan
cloud-platform
. Jika menentukan akun layanan menggunakan Google Cloud CLI atau Compute Engine API, Anda perlu menetapkan cakupan akses API ke
Allow full access to all Cloud APIs
.Untuk mengetahui petunjuknya, lihat Membuat VM dan memasang akun layanan.
Setelah memperbarui cakupan, mulai ulang VM. Jika Anda memiliki beberapa instance VM untuk penginstalan SAP yang sama, Anda harus menyelesaikan langkah ini pada semua instance VM tersebut.
- Jika Anda menentukan akun layanan menggunakan Konsol Google Cloud, cakupan akses VM akan otomatis ditetapkan secara default ke cakupan
Di konsol Google Cloud, buat akun layanan IAM khusus untuk mengakses Google Cloud API.
Untuk mengetahui petunjuknya, lihat Membuat akun layanan.
Memberi akun layanan peran IAM yang diperlukan untuk mengakses fungsi API. Guna memahami persyaratan peran untuk Google Cloud API, lihat dokumentasi API individual dan ikuti prinsip hak istimewa terendah. Untuk mengetahui informasi selengkapnya tentang peran bawaan khusus API, lihat Referensi peran dasar dan bawaan IAM.
Jika Anda membuat akun layanan dalam project yang berbeda dengan project yang berisi Google Cloud API, Anda harus melakukan langkah-langkah tambahan untuk membuat akun layanan. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan akun layanan di lingkungan lintas project.
Dalam sistem SAP, konfigurasi kunci klien:
Di GUI SAP, jalankan kode transaksi
/GOOG/SDK_IMG
.Atau, jalankan kode transaksi
SPRO
, lalu klik SAP Reference IMG.Klik ABAP SDK for Google Cloud > Basic Settings > Configure Client Key.
Klik New Entries.
Masukkan nilai untuk kolom berikut:
Kolom Deskripsi Nama Kunci Google Cloud Tetapkan nama konfigurasi kunci klien. Misalnya, TEST_PUBSUB
.Nama Akun Layanan Google Cloud Tentukan nama akun layanan yang telah Anda beri izin untuk mengakses Google Cloud API. Contoh,
sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com
.Jika VM host sistem SAP Anda yang berisi SDK berada di project yang berbeda dengan VM yang mengaktifkan Google Cloud API, tentukan akun layanan yang digunakan untuk mengakses Google Cloud API. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan akun layanan di lingkungan lintas project.
Cakupan Google Cloud Tentukan cakupan akses API, https://www.googleapis.com/auth/cloud-platform
.ID Project Google Cloud Tentukan ID project Google Cloud yang berisi API target Anda. Nama perintah Kosongkan kolom ini. Class Otorisasi Tentukan class otorisasi, /GOOG/CL_AUTH_GOOGLE
.Pembuatan Cache Token Tanda yang menentukan apakah token akses yang diambil dari Google Cloud disimpan ke cache atau tidak.
Sebaiknya aktifkan penyimpanan token ke dalam cache setelah Anda selesai mengonfigurasi dan menguji koneksi Anda ke Google Cloud. Untuk mengetahui informasi selengkapnya tentang penyimpanan token ke dalam cache, lihat Mengaktifkan penyimpanan token ke dalam cache.
detik Refresh Token Jumlah waktu, dalam detik, sebelum masa berlaku token akses berakhir dan harus dimuat ulang. Nilai defaultnya adalah 3500
.Parameter Otorisasi 1 Kosongkan kolom ini. Parameter Otorisasi 2 Kosongkan kolom ini. Simpan entri baru.
Dalam sistem SAP, buat tujuan RFC baru untuk API yang akan digunakan dengan ABAP SDK untuk Google Cloud.
Untuk informasi tentang cara membuat tujuan RFC, lihat Tujuan RFC.
Dalam sistem SAP, konfigurasikan tabel pemetaan layanan untuk IAM API, dan API lain yang akan Anda gunakan dengan menggunakan ABAP SDK untuk Google Cloud.
Di GUI SAP, jalankan kode transaksi
/GOOG/SDK_IMG
.Atau, jalankan kode transaksi
SPRO
, lalu klik SAP Reference IMG.Klik ABAP SDK for Google Cloud > Basic Settings > Configure Service Mapping.
Klik New Entries.
Tentukan tujuan RFC untuk IAM API dan API lainnya, misalnya,
Pub/Sub API v1
.Nama Nama Layanan RFC Destination Nama Kunci Google Cloud iamcredentials.googleapis.com
ZGOOG_IAMCREDENTIALS
Nama Kunci Google Cloud pubsub:v1
ZGOOG_PUBSUB_V1
Simpan entri baru.
Dalam sistem SAP, validasi konfigurasi autentikasi. Untuk mengetahui informasi selengkapnya, lihat Memvalidasi konfigurasi autentikasi.
Menyiapkan akun layanan di lingkungan lintas project
VM host sistem SAP Anda, yang berisi SDK, dapat berada di project Google Cloud yang berbeda dari yang mengaktifkan Google Cloud API. Dalam hal ini, Anda harus menyiapkan akun layanan dengan peran IAM yang diperlukan sehingga SDK dapat mengakses API dari project lain.
Tabel berikut menunjukkan contoh penyiapan akun layanan untuk akses API lintas project.
Lingkungan | VM host SAP | Google Cloud API |
---|---|---|
Project Google Cloud | project-sap-host |
project-google-apis |
Akun layanan yang ditetapkan ke VM host SAP | sa-sap-host@project-sap-host.iam.gserviceaccount.com |
T/A |
Akun layanan untuk mengakses Google Cloud API | sa-google-apis@project-sap-host.iam.gserviceaccount.com |
T/A |
Peran IAM untuk akun layanan | Pada project project-sap-host , berikan peran
sa-sap-host@project-sap-host.iam.gserviceaccount.com
Service Account Token Creator untuk akun layanan. |
Pada project project-google-apis , tambahkan akun layanan
sa-google-apis@project-sap-host.iam.gserviceaccount.com
sebagai prinsip dan berikan peran yang sesuai
ke akun layanan untuk terhubung ke Google Cloud API. |
Untuk menyiapkan akun layanan, lakukan langkah-langkah berikut:
- Dalam project Google Cloud yang berisi VM host SAP Anda, berikan peran
Service Account Token Creator
ke akun layanan VM host SAP. Untuk mengetahui informasi selengkapnya tentang langkah-langkahnya, lihat Memberikan satu peran. - Dalam project Google Cloud yang berisi VM host SAP Anda, buat akun layanan. Catat nama akun layanan. Anda menentukan nama ini saat menambahkan akun layanan sebagai prinsip ke project lain yang berisi Google Cloud API.
Dalam project lain yang berisi Google Cloud API, tambahkan akun layanan sebagai prinsip dan berikan peran yang sesuai untuk terhubung ke Google Cloud API. Untuk menambahkan akun layanan ke project Google Cloud yang berisi Google Cloud API, lakukan langkah-langkah berikut:
Di Konsol Google Cloud, buka halaman Izin IAM:
Pastikan nama project yang berisi Google Cloud API target ditampilkan di dekat bagian atas halaman. Contoh:
Izin untuk project "
PROJECT_NAME
"Jika tidak, ganti project.
Di halaman IAM, klik
Berikan akses. Dialog Berikan akses ke "PROJECT_NAME
" akan terbuka.Di kolom New principals, tentukan nama akun layanan.
Di kolom Pilih peran, tentukan peran yang relevan. Misalnya, untuk Pub/Sub, jika ingin mengubah topik dan langganan, serta akses untuk memublikasikan dan menggunakan pesan, Anda dapat menentukan peran Pub/Sub Editor (
roles/pubsub.editor
).Untuk mengetahui informasi selengkapnya tentang peran bawaan khusus API, lihat Referensi peran dasar dan bawaan IAM.
Tambahkan peran lain sesuai kebutuhan untuk penggunaan API Anda. Terapkan praktik terbaik yang direkomendasikan Google dengan menerapkan prinsip hak istimewa terendah.
Klik Save. Akun layanan akan muncul dalam daftar akun utama project di halaman IAM.
Melakukan autentikasi menggunakan JSON Web Token (JWT)
Bagian ini menunjukkan cara menyiapkan autentikasi untuk mengakses Google Cloud API menggunakan token saat sistem SAP Anda berjalan di host yang ada di infrastruktur lokal, di penyedia cloud lain, di lingkungan lain di luar Google Cloud, atau dikelola oleh SAP melalui program SAP RISE.
Untuk autentikasi ke Google Cloud, Anda menggunakan Token Web JSON (JWT) yang ditandatangani Google Cloud untuk mendapatkan token akses dari Google Cloud.
Langkah-langkah konfigurasi tingkat tinggi adalah sebagai berikut:
- Membuat akun layanan untuk pengambilan token berbasis JWT.
- Mengonfigurasi setelan keamanan untuk Google Cloud di host SAP.
- Mengaktifkan Google Cloud API.
- Membuat akun layanan lain untuk otorisasi agar dapat mengakses Google Cloud API.
- Membuat konfigurasi SAP.
- Memvalidasi konfigurasi autentikasi.
Membuat akun layanan untuk pengambilan token berbasis JWT
Untuk autentikasi berbasis JWT ke Google Cloud, ABAP SDK untuk Google Cloud memerlukan akun layanan IAM.
Membuat akun layanan
Di Konsol Google Cloud, buat akun layanan IAM untuk pengambilan token berbasis JWT, dan berikan Service Account Token Creator untuk akun layanan.
Untuk mengetahui informasi tentang cara membuat akun layanan, lihat Membuat akun layanan.
Membuat kunci akun layanan
Anda harus membuat kunci akun layanan P12 untuk akun layanan yang digunakan untuk pengambilan token berbasis JWT.
Untuk membuat kunci akun layanan, lakukan langkah-langkah berikut:
Di konsol Google Cloud, buka halaman Service accounts IAM & Admin.
Pilih project Google Cloud Anda.
Klik alamat email akun layanan yang Anda buat untuk pengambilan token berbasis JWT di bagian sebelumnya, Membuat akun layanan.
Di bawah nama akun layanan, klik tab Keys.
Klik menu drop-down Add Key, lalu pilih Create new key untuk membuat kunci akun layanan.
Terima P12 sebagai jenis kunci dan klik Create.
Kunci pribadi didownload ke komputer Anda.
Catat sandi untuk file kunci pribadi,
notasecret
.Berikan kunci pribadi dan sandi kepada administrator SAP Anda untuk mengimpor kunci pribadi ke
STRUST
, seperti yang dijelaskan dalam Mengimpor kunci akun layanan ke STRUST.
Tentukan akun layanan untuk penandatanganan JWT
Jika Anda membuat akun layanan untuk login JWT di project yang berbeda dengan project yang berisi Google Cloud API, Anda perlu menentukan akun layanan di sistem host SAP.
Jika membuat akun layanan dalam project yang sama yang berisi Google Cloud API, maka Anda dapat melewati langkah ini.
Untuk menentukan akun layanan untuk penandatanganan JWT, lakukan langkah-langkah berikut:
Di GUI SAP, jalankan kode transaksi
/GOOG/SDK_IMG
.Atau, jalankan kode transaksi
SPRO
, lalu klik SAP Reference IMG.Klik ABAP SDK for Google Cloud > Basic Settings > Configure Parameters.
Klik New Entries.
Di kolom Parameter Name, masukkan
JWT_SERVC_ACCT
. Deskripsi parameter diisi secara otomatis.Di kolom Nilai Parameter, masukkan nama akun layanan.
Simpan entri baru.
Mengonfigurasi setelan keamanan untuk Google Cloud di sistem host SAP
Jika ingin mengaktifkan penandatanganan JWT untuk akun layanan yang dibuat untuk pengambilan token berbasis JWT, Anda harus mengonfigurasi setelan keamanan untuk Google Cloud pada sistem host SAP.
Membuat Aplikasi Secure Store and Forward (SSF) baru
Setiap entri SSFAPPLIC
memungkinkan Anda menyimpan satu kunci akun layanan.
Agar dapat menyimpan kunci akun layanan untuk beberapa project, Anda harus membuat beberapa entri SSFAPPLIC
dengan mengikuti langkah yang sama.
Untuk membuat entri baru dalam tabel SSFAPPLIC
, lakukan langkah-langkah berikut:
- Di SAP GUI, masukkan kode transaksi
SE16
. - Di kolom Table Name, masukkan
SSFAPPLIC
, dan buat entri baru. - Di kolom APPLIC, masukkan nama untuk aplikasi SSF Anda, seperti
ZG_JWT
. - Kecuali kolom B_INCCERTS, B_DETACHED, B_ASKPWD, dan B_DISTRIB, pilih semua kolom lainnya.
- Di kolom DESCRIPT, masukkan
JWT Signature for GCP
. Simpan entri baru.
Entri ini menjadi node baru dalam transaksi
STRUST
, tempat Anda mengimpor kunci akun layanan.
Aktifkan node STRUST
Gunakan transaksi SSFA
untuk mengaktifkan node STRUST
untuk JWT Signature for GCP
.
Untuk mengaktifkan node STRUST
, lakukan langkah-langkah berikut:
- Di SAP GUI, masukkan kode transaksi
SSFA
. - Klik New Entries.
Di menu drop-down SSF Application, pilih
JWT Signature for GCP
. Ini adalah entri baru yang Anda buat di tabelSSFAPPLIC
.Parameter SSF khusus aplikasi diisi secara otomatis.
Simpan entri baru.
Node baru
SSF JWT Signature for GCP
diaktifkan dalam transaksiSTRUST
.
Impor kunci akun layanan ke STRUST
Untuk mengimpor kunci akun layanan ke STRUST
, lakukan langkah-langkah berikut:
Di SAP GUI, masukkan kode transaksi
STRUST
.Verifikasi node baru dalam transaksi
STRUST
adalahSSF JWT Signature for GCP
.Impor file kunci pribadi:
- Pilih PSE > Import dari panel menu.
- Bergantung pada sistem SAP Anda, pilih kunci pribadi yang sesuai:
- SAP S/4HANA
- Pilih kunci pribadi P12.
- Masukkan sandi file
notasecret
, lalu klik OK.
- SAP ECC
- Pilih kunci pribadi PSE. Anda harus mengonversi kunci pribadi P12 yang telah Anda download sebelumnya menjadi kunci pribadi PSE. Untuk mengetahui informasi selengkapnya tentang cara mengonversi kunci P12 menjadi kunci PSE, lihat Mengonversi kunci P12 menjadi kunci PSE.
- Masukkan PIN file yang Anda buat selama konversi kunci pribadi dari kunci P12 ke kunci PSE, lalu klik OK.
- SAP S/4HANA
Pilih PSE > Save as.
Pilih Aplikasi SSF, dan di kolom input yang sesuai, pilih node Aplikasi SSF baru yang Anda buat di Create a new Secure Store and Forward (SSF) Application.
Simpan entri baru.
Kunci layanan dilampirkan ke
SSF JWT Signature for GCP
node aplikasi SSF.
Mengonversi kunci pribadi P12 menjadi kunci PSE
Jika sistem SAP Anda adalah SAP NetWeaver 7.0x (SAP ECC), maka Anda harus mengonversi kunci P12 menjadi kunci PSE.
Untuk mengonversi kunci P12 menjadi kunci PSE, lakukan langkah-langkah berikut:
Buka jalur:
/usr/sap/SID/SYS/exe/run/
Ganti SID dengan ID sistem SAP.
Jalankan perintah berikut setelah mengganti placeholder:
sapgenpse import_p12 -p PSE_PATH_AND_FILE_NAME P12_PATH_AND_FILE_NAME.p12
Ganti kode berikut:
PSE_PATH_AND_FILE_NAME
: menentukan jalur dan nama file untuk file PSEP12_PATH_AND_FILE_NAME
: menentukan jalur dan nama file untuk file kunci P12
Masukkan sandi file kunci pribadi P12,
notasecret
.Buat PIN baru untuk kunci pribadi PSE dan masukkan kembali PIN Anda.
Catat PIN ini, Anda harus memberikan PIN ini saat mengimpor file kunci pribadi PSE ke
STRUST
.
Untuk informasi dari SAP tentang cara mengonversi kunci P12 menjadi kunci PSE, lihat:
Mengaktifkan Google Cloud API
Di Konsol Google Cloud, aktifkan IAM Service Account Credentials API untuk project Google Cloud yang memerlukan autentikasi. Bersama dengan IAM Service Account Credentials API, Anda harus mengaktifkan API lain yang didukung yang ingin Anda akses menggunakan SDK.
Untuk mengetahui informasi tentang cara mengaktifkan Google Cloud API, lihat Mengaktifkan API.
Membuat akun layanan untuk otorisasi agar dapat mengakses Google Cloud API
Untuk autentikasi dan otorisasi agar dapat mengakses Google Cloud API, ABAP SDK untuk Google Cloud memerlukan akun layanan IAM.
Membuat akun layanan
Di konsol Google Cloud, buat akun layanan IAM. Akun layanan ini harus merupakan akun utama dalam project Google Cloud yang berisi Google Cloud API yang akan Anda gunakan dengan menggunakan SDK. Jika membuat akun layanan di project yang sama yang berisi Google Cloud API, maka akun layanan akan ditambahkan sebagai akun utama ke project secara otomatis.
Jika Anda membuat akun layanan di project selain project tempat Google Cloud API diaktifkan, Anda harus menambahkan akun layanan ke project tersebut pada langkah tambahan.
Di Konsol Google Cloud, buat akun layanan IAM untuk autentikasi dan otorisasi untuk mengakses Google Cloud API.
Untuk mengetahui informasi tentang cara membuat akun layanan, lihat Membuat akun layanan.
Di konsol Google Cloud, berikan peran IAM yang diperlukan kepada akun layanan untuk mengakses fungsi API. Guna memahami persyaratan peran untuk Google Cloud API, lihat dokumentasi API individual dan ikuti prinsip hak istimewa terendah. Untuk mengetahui informasi selengkapnya tentang peran bawaan khusus API, lihat Referensi peran dasar dan bawaan IAM.
Jika membuat akun layanan dalam project selain project yang berisi Google Cloud API yang akan digunakan dengan menggunakan SDK, catat nama akun layanan tersebut. Anda dapat menentukan nama project saat menambahkan akun layanan ke project tersebut. Untuk informasi selengkapnya, lihat Menambahkan akun layanan ke project Google Cloud.
Menambahkan akun layanan ke project Google Cloud
Jika Anda membuat akun layanan untuk ABAP SDK untuk Google Cloud dalam project selain project yang berisi Google Cloud API yang ingin Anda gunakan dengan SDK, maka Anda perlu menambahkan layanan tersebut akun ke project Google Cloud yang berisi Google Cloud API.
Jika membuat akun layanan dalam project yang sama yang berisi Google Cloud API, maka Anda dapat melewati langkah ini.
Untuk menambahkan akun layanan yang ada ke project Google Cloud yang berisi Google Cloud API, lakukan langkah-langkah berikut:
Di konsol Google Cloud, buka halaman IAM Permissions:
Pastikan nama project yang berisi Google Cloud API target ditampilkan di dekat bagian atas halaman. Contoh:
Izin untuk project "
PROJECT_NAME
"Jika tidak, ganti project.
Di halaman IAM, klik
Berikan akses. Dialog Berikan akses ke "PROJECT_NAME
" akan terbuka.Di dialog Berikan akses ke "
PROJECT_NAME
", lakukan langkah-langkah berikut:- Di kolom New principals, tentukan nama akun layanan.
Di kolom Pilih peran, tentukan peran yang relevan. Misalnya, untuk Pub/Sub, jika ingin mengubah topik dan langganan, serta akses untuk memublikasikan dan menggunakan pesan, Anda dapat menentukan peran Pub/Sub Editor (
roles/pubsub.editor
).Untuk mengetahui detail selengkapnya tentang peran bawaan khusus API, lihat Referensi peran dasar dan bawaan IAM.
Tambahkan peran lain sesuai kebutuhan untuk penggunaan API Anda. Terapkan praktik terbaik yang direkomendasikan Google dengan menerapkan prinsip hak istimewa terendah.
Klik Save. Akun layanan akan muncul dalam daftar akun utama project di halaman IAM.
Akun layanan sekarang dapat digunakan untuk mengakses Google Cloud API dalam project ini.
Menyiapkan koneksi HTTPS
Server aplikasi SAP diperlukan untuk terhubung ke Google Cloud API melalui HTTPS.
Di host SAP, pastikan aturan atau proxy firewall dikonfigurasi untuk mengizinkan traffic keluar dari port HTTPS ke Google Cloud API yang diperlukan.
Secara khusus, sistem SAP Anda harus dapat mengakses endpoint API berikut:
https://iamcredentials.googleapis.com
- Endpoint API untuk API yang ingin Anda gunakan dengan SDK.
Membuat konfigurasi SAP
Untuk autentikasi berbasis JWT, buat konfigurasi SAP yang diperlukan.
Menentukan setelan akses di tabel kunci klien
Untuk menentukan setelan akses, lakukan langkah-langkah berikut:
Di GUI SAP, jalankan kode transaksi
/GOOG/SDK_IMG
.Atau, jalankan kode transaksi
SPRO
, lalu klik SAP Reference IMG.Klik ABAP SDK for Google Cloud > Basic Settings > Configure Client Key.
Klik New Entries.
Masukkan nilai untuk kolom berikut:
Kolom Deskripsi Nama Kunci Google Cloud Tetapkan nama konfigurasi kunci klien. Nama Akun Layanan Google Cloud Tentukan nama akun layanan dalam format alamat email yang dibuat untuk ABAP SDK untuk Google Cloud di langkah Create a service account. Contoh:
sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com
Cakupan Google Cloud Tentukan cakupan akses, https://www.googleapis.com/auth/cloud-platform
.ID Project Tentukan ID project Google Cloud yang berisi API target Anda. Nama perintah Kosongkan kolom ini. Class Otorisasi Tentukan class otorisasi, /GOOG/CL_AUTH_JWT
.Kolom Otorisasi Kosongkan kolom ini. detik Refresh Token Kosongkan kolom ini. Parameter Otorisasi 1 Tentukan nama aplikasi SSF yang Anda buat di bagian Create a new Secure Store and Forward (SSF) Application. Simpan entri baru.
Membuat tujuan RFC baru
Buat tujuan RFC untuk IAM API dan API lain yang ingin Anda gunakan menggunakan ABAP SDK untuk Google Cloud, misalnya, Pub/Sub API v1.
Nama tujuan RFC | Notes |
---|---|
ZGOOG_IAMCREDENTIALS |
Tujuan RFC ini menargetkan IAM API . |
ZGOOG_OAUTH2_TOKEN |
Tujuan RFC ini menargetkan endpoint Google Cloud untuk autentikasi berbasis token. |
ZGOOG_PUBSUB_V1 |
Tujuan RFC ini menargetkan Pub/Sub API. |
Untuk informasi tentang cara membuat tujuan RFC, lihat Tujuan RFC.
Menentukan tujuan RFC dalam tabel pemetaan layanan
Di tabel pemetaan layanan, tentukan tujuan RFC untuk IAM API dan API lain yang ingin Anda gunakan menggunakan ABAP SDK untuk Google Cloud.
Untuk menentukan tujuan RFC, lakukan langkah-langkah berikut:
Di GUI SAP, jalankan kode transaksi
/GOOG/SDK_IMG
.Atau, jalankan kode transaksi
SPRO
, lalu klik SAP Reference IMG.Klik ABAP SDK for Google Cloud > Basic Settings > Configure Service Mapping.
Klik New Entries.
Menentukan tujuan RFC untuk IAM API dan API lainnya. Contoh:
Nama Nama Layanan RFC Destination Nama Kunci Google Cloud iamcredentials:v1
ZGOOG_IAMCREDENTIALS
Nama Kunci Google Cloud googleapis.com/oauth2
ZGOOG_OAUTH2_TOKEN
Nama Kunci Google Cloud pubsub.googleapis.com
ZGOOG_PUBSUB_V1
Simpan entri baru.
Mengautentikasi menggunakan token melalui Workload Identity Federation
Dengan Workload Identity Federation, Anda dapat memberikan akses workload SAP lokal atau multicloud ke resource Google Cloud tanpa menggunakan kunci akun layanan. Anda dapat menggunakan Workload Identity Federation dengan Amazon Web Services (AWS) atau dengan Penyedia Identitas (IdP) apa pun yang mendukung OpenID Connect (OIDC), seperti Microsoft Azure atau SAML 2.0.
Workload Identity Federation mengikuti spesifikasi pertukaran token OAuth 2.0. Anda memberikan kredensial dari IdP ke Layanan Token Keamanan, yang memverifikasi identitas pada kredensial, lalu menampilkan token federasi sebagai gantinya. Anda dapat menggunakan token ini untuk meniru identitas akun layanan dan mendapatkan token akses OAuth 2.0 yang berumur pendek. Dengan token akses jangka pendek, Anda dapat memanggil Google Cloud API apa pun yang dapat diakses oleh akun layanan.
Untuk autentikasi menggunakan token melalui Workload Identity Federation, langkah-langkah konfigurasi tingkat tinggi adalah sebagai berikut:
- Siapkan IdP eksternal.
- Di Google Cloud, konfigurasikan Workload Identity Federation.
- Di Google Cloud, buat akun layanan.
- Di Google Cloud, izinkan beban kerja eksternal meniru identitas akun layanan.
- Di ABAP SDK untuk Google Cloud, terapkan kode ABAP untuk mengambil token keamanan dari IdP Anda.
- Di ABAP SDK untuk Google Cloud, konfigurasikan kunci klien.
Tidak semua produk Google Cloud mendukung Workload Identity Federation. Sebelum menyiapkan autentikasi menggunakan Workload Identity Federation, tinjau daftar produk dan batasan yang didukung. Untuk mengetahui informasi selengkapnya, lihat Penggabungan identitas tenaga kerja: produk dan batasan yang didukung.
Menyiapkan IdP eksternal Anda
Anda harus menyiapkan IdP agar beban kerja SAP dapat memperoleh kredensial yang dapat ditukar dengan token keamanan Google OAuth 2.0.
Untuk menyiapkan IdP eksternal, lakukan langkah-langkah bergantung pada IdP Anda:
- Jika Anda menggunakan AWS atau Azure sebagai IdP, ikuti petunjuk untuk menyiapkan IdP eksternal.
- Jika Anda menggunakan IdP lain, ikuti petunjuk untuk menyiapkan IdP eksternal.
Mengonfigurasi Workload Identity Federation
Di Google Cloud, konfigurasikan penyedia dan kumpulan workload identity.
Anda akan mengonfigurasi kumpulan identitas, yaitu entity yang memungkinkan Anda mengelola identitas eksternal. Anda juga akan mengonfigurasi penyedia kumpulan identitas workload, yang merupakan entity yang menjelaskan hubungan antara Google Cloud dan IdP Anda.
Untuk mengonfigurasi Workload Identity Federation, lakukan langkah-langkah bergantung pada IdP eksternal Anda:
- Jika Anda menggunakan AWS atau Azure sebagai IdP, ikuti petunjuk untuk membuat penyedia dan kumpulan workload identity.
- Jika Anda menggunakan IdP lain, ikuti petunjuk untuk membuat penyedia dan kumpulan workload identity.
Perhatikan hal-hal berikut:
- Project number: nomor project project Google Cloud tempat Anda membuat kumpulan workload identity.
- ID Kumpulan: ID unik yang mengidentifikasi kumpulan workload identity.
- ID Penyedia: ID yang mengidentifikasi penyedia kumpulan identitas workload.
Anda memerlukannya untuk konfigurasi kunci klien ABAP SDK.
Membuat akun layanan
Di konsol Google Cloud, buat akun layanan IAM khusus untuk mengakses Google Cloud API. Akun layanan ini harus merupakan akun utama dalam project Google Cloud yang berisi Google Cloud API yang akan Anda gunakan dengan menggunakan SDK.
Di Konsol Google Cloud, aktifkan IAM Service Account Credentials API, Security Token Service API, dan API lain yang didukung yang ingin Anda akses menggunakan SDK.
Untuk mengetahui informasi tentang cara mengaktifkan Google Cloud API, lihat Mengaktifkan API.
Buat akun layanan yang merepresentasikan workload.
Berikan peran IAM yang diperlukan ke akun layanan untuk mengakses fungsi API. Guna memahami persyaratan peran untuk Google Cloud API, lihat dokumentasi API individual dan ikuti prinsip hak istimewa terendah. Untuk mengetahui informasi selengkapnya tentang peran bawaan khusus API, lihat Referensi peran dasar dan bawaan IAM.
Mengizinkan workload eksternal untuk meniru identitas akun layanan
Untuk mengizinkan beban kerja eksternal meniru identitas akun layanan, lakukan langkah-langkah bergantung pada IdP eksternal Anda:
- Jika Anda menggunakan AWS atau Azure sebagai IdP, ikuti petunjuk untuk mengizinkan beban kerja eksternal meniru identitas akun layanan.
- Jika Anda menggunakan IdP lain, ikuti petunjuk untuk mengizinkan beban kerja eksternal meniru identitas akun layanan.
Menerapkan kode ABAP untuk mengambil token keamanan dari IdP
ABAP SDK untuk Google Cloud menyediakan class abstrak /GOOG/CL_AUTH_WIF_BASE
, yang memiliki logika untuk mengambil token keamanan OAuth 2.0 dari Layanan Token Keamanan dan token akses OAuth 2.0 dari IAM Service Account Credentials API.
Sebagai developer, Anda perlu membuat class dalam namespace yang diturunkan
dari class abstrak /GOOG/CL_AUTH_WIF_BASE
. Class ini harus mengimplementasikan
metode GET_EXT_IDP_TOKEN
dan menulis logika untuk mendapatkan token keamanan dari
IdP Anda serta mengisi kolom berikut:
CV_TOKEN
: token yang diambil dari IdP dalam formatstring
.CV_TOKEN_TYPE
: jenis token keamanan yang diambil dari IdP Anda. Jenis token yang didukung adalah:urn:ietf:params:oauth:token-type:jwt
urn:ietf:params:oauth:token-type:id_token
urn:ietf:params:aws:token-type:aws4_request
urn:ietf:params:oauth:token-type:access_token
urn:ietf:params:oauth:token-type:saml2
Nilai yang diisi di CV_TOKEN
dan CV_TOKEN_TYPE
kemudian digunakan oleh metode
class abstrak /GOOG/CL_AUTH_WIF_BASE
untuk bertukar dan mengambil
token OAuth 2.0 final, yang digunakan dalam panggilan API.
Contoh berikut menunjukkan contoh implementasi metode
GET_EXT_IDP_TOKEN
untuk
penyedia Cloud lainnya seperti AWS dan Azure.
AWS
Azure
Mengonfigurasi kunci klien
-
Di GUI SAP, jalankan kode transaksi
/GOOG/SDK_IMG
.Atau, jalankan kode transaksi
SPRO
, lalu klik SAP Reference IMG. - Klik ABAP SDK for Google Cloud > Setelan Dasar > Konfigurasi Kunci Klien.
- Klik New Entries.
Masukkan nilai untuk kolom berikut:
Kolom Deskripsi Nama Kunci Google Cloud Tetapkan nama konfigurasi kunci klien. Nama Akun Layanan Google Cloud Kosongkan kolom ini. Cakupan Google Cloud Kosongkan kolom ini. ID Project Google Cloud Tentukan ID project Google Cloud tempat Anda membuat kumpulan workload identity. Nama perintah Kosongkan kolom ini. Class Otorisasi Tentukan class autentikasi, yang berisi implementasi metode GET_EXT_IDP_TOKEN
.Pembuatan Cache Token Kosongkan kolom ini. detik Refresh Token Kosongkan kolom ini. Parameter Otorisasi 1 Tentukan ID kumpulan workload identity. Parameter Otorisasi 2 Tentukan ID penyedia workload identity. Simpan entri.
Melakukan autentikasi ke Google Workspace API menggunakan kredensial klien OAuth 2.0
Untuk mengautentikasi ke Google Workspace API menggunakan kredensial klien OAuth 2.0, Anda harus menyelesaikan konfigurasi berikut di project Google Cloud dan lanskap SAP Anda:
Konfigurasi konsol Google Cloud
Konfigurasi lanskap SAP
ABAP SDK untuk Google Cloud dikirimkan dengan komponen inti berikut, yang diperlukan untuk autentikasi berbasis kredensial klien OAuth 2.0:
- Jenis penyedia layanan OAuth 2.0
/GOOG/ABAP_SDK
yang Anda tentukan untuk konfigurasi profil klien OAuth 2.0. - Class autentikasi
/GOOG/CL_OAUTH_GOOGLE
yang Anda tentukan untuk konfigurasi kunci klien. - Penerapan Add-In Bisnis (BAdI) SAP yang mengisi otomatis parameter OAuth khusus Google, seperti endpoint dan setelan parameter yang diperlukan.
Namun, Anda juga harus menyelesaikan konfigurasi berikut dalam lanskap SAP:
- Membuat profil klien OAuth 2.0
- Mengonfigurasi klien OAuth 2.0
- Mengonfigurasi kunci klien
- Meminta token akses OAuth 2.0
Membuat izin OAuth 2.0
Layar izin OAuth adalah perintah yang memberi tahu pengguna siapa yang meminta akses ke data mereka dan jenis data yang diizinkan oleh pengguna untuk diakses oleh aplikasi Anda.
Di konsol Google Cloud, buka Menu> APIs & Services > Layar izin OAuth.
Pilih jenis pengguna Eksternal untuk aplikasi Anda, lalu klik Buat.
Untuk melengkapi formulir pendaftaran aplikasi, tentukan detail berikut:
- Nama aplikasi: nama aplikasi yang memerlukan izin.
- Email dukungan pengguna: email dukungan yang dapat digunakan pengguna untuk menghubungi Anda jika ada pertanyaan tentang izin mereka.
- Domain yang diotorisasi: domain yang akan digunakan selama pemberian izin OAuth.
- Informasi kontak developer: alamat email yang digunakan Google untuk memberi tahu Anda tentang perubahan apa pun pada project Anda.
Klik Save and Continue.
Membuat kredensial client ID OAuth 2.0
Untuk mengautentikasi sebagai pengguna akhir dan mengakses data pengguna di aplikasi, Anda perlu membuat satu atau beberapa Client ID OAuth 2.0. Client ID digunakan untuk mengidentifikasi satu aplikasi ke server OAuth Google.
Di konsol Google Cloud, buka Menu > APIs & Services > Credentials.
Klik Buat Kredensial > Client ID OAuth.
Di kolom Jenis aplikasi, pilih Aplikasi web.
Di kolom Name, ketik nama untuk kredensial. Nama ini hanya ditampilkan di Konsol Google Cloud.
Di bagian URI pengalihan yang diotorisasi, klik Tambahkan URI. Kemudian, masukkan URI pengalihan SAP yang dapat menjadi tujuan pengiriman respons oleh server OAuth 2.0.
Anda bisa mendapatkan URI pengalihan SAP dari setelan OAuth 2.0 dalam transaksi
SICF
.Klik Create.
Catat Client-ID dan Rahasia klien.
Membuat profil klien OAuth 2.0
Sebagai developer ABAP, Anda membuat profil klien OAuth dengan cakupan OAuth 2.0 yang diperlukan untuk persyaratan bisnis Anda. Untuk informasi tentang cakupan OAuth 2.0 untuk Google API, lihat Cakupan OAuth 2.0 untuk Google API.
Contoh profil klien OAuth /GOOG/OAUTH_PROFILE_SAMPLE
dikirim dengan SDK, dengan cakupan OAuth 2.0 yang dikonfigurasi untuk Google Sheets API.
- Di SAP GUI, masukkan kode transaksi
SE80
. - Dari menu drop-down, pilih Development Object.
- Untuk membuat objek pengembangan di namespace kustom, pilih Create > Lainnya > Profil Klien OAuth 2.0 di menu konteks nama objek.
Masukkan detail berikut:
- Di kolom Profil Klien, masukkan nama profil klien.
- Di kolom Type, pilih
/GOOG/ABAP_SDK
. Ini adalah jenis penyedia default yang dikirim dengan ABAP SDK untuk Google Cloud.
Tambahkan cakupan yang diperlukan ke profil klien Anda. Untuk informasi tentang cakupan OAuth 2.0, lihat Cakupan OAuth 2.0 untuk Google API.
Simpan profil klien ke paket pengembangan Anda. Menyertakan profil klien dalam permintaan transport, yang dapat dipindahkan ke lingkungan yang lebih tinggi.
Mengonfigurasi klien OAuth 2.0
Sebagai administrator SAP, Anda dapat mengaitkan profil klien OAuth dengan kredensial klien Google Cloud.
Ini adalah aktivitas satu kali yang perlu Anda lakukan pada setiap sistem SAP dalam lanskap SAP (Pengembangan, Pengujian, dan Produksi).
- Di SAP GUI, masukkan kode transaksi
OA2C_CONFIG
. Halaman login SAP akan terbuka di browser default. - Masuk dengan kredensial SAP Anda.
- Untuk membuat klien OAuth 2.0, klik Buat.
- Di kotak dialog Create a new OAuth 2.0 client:
- Pilih profil klien OAuth 2.0 yang Anda buat sebelumnya di halaman Membuat profil klien OAuth 2.0 di sistem SAP.
- Masukkan nama konfigurasi.
- Masukkan Client ID OAuth 2.0 dari kredensial Google Cloud yang Anda buat sebelumnya di bagian Membuat kredensial client ID OAuth 2.0.
- Klik OK.
- Di tab Administration, di bagian General Settings, masukkan rahasia klien dari kredensial Google Cloud yang Anda buat sebelumnya di bagian Membuat kredensial client ID OAuth 2.0.
Jika menggunakan server proxy untuk merutekan traffic HTTP/HTTPS keluar dari sistem SAP, Anda perlu mempertahankan detail host proxy berikut di bagian Setelan Akses:
- Host proxy
- Porta proxy
- Pengguna proxy
- Kata Sandi Proksi
Klik Save.
Mengonfigurasi kunci klien
-
Di GUI SAP, jalankan kode transaksi
/GOOG/SDK_IMG
.Atau, jalankan kode transaksi
SPRO
, lalu klik SAP Reference IMG. - Klik ABAP SDK for Google Cloud > Basic Settings > Configure Client Key.
- Klik New Entries.
Masukkan nilai untuk kolom berikut:
Kolom Deskripsi Nama Kunci Google Cloud Tetapkan nama konfigurasi kunci klien. Nama Akun Layanan Google Cloud Kosongkan kolom ini. Cakupan Google Cloud Kosongkan kolom ini. ID Project Google Cloud Tentukan ID project Google Cloud yang berisi API target Anda. Nama perintah Kosongkan kolom ini. Class Otorisasi Tentukan class autentikasi, /GOOG/CL_OAUTH_GOOGLE
.Pembuatan Cache Token Kosongkan kolom ini. detik Refresh Token Kosongkan kolom ini. Parameter Otorisasi 1 Tentukan nama profil klien OAuth yang Anda buat sebelumnya di bagian Membuat profil klien OAuth 2.0 di sistem SAP. Parameter Otorisasi 2 Tetapkan nama konfigurasi yang Anda tetapkan di klien OAuth 2.0 untuk client ID.
Kolom ini wajib diisi jika Anda telah mengaitkan satu profil klien OAuth dengan lebih dari satu client ID.
Untuk informasi selengkapnya, lihat Skenario beberapa project Google Cloud.
Simpan entri baru.
Meminta token akses OAuth 2.0
Sebagai pengguna akhir, Anda perlu meminta token akses OAuth 2.0 untuk mengizinkan akses ke resource API.
Ini adalah aktivitas satu kali yang perlu dilakukan setiap pengguna pada setiap sistem SAP dalam lanskap SAP Anda (Pengembangan, Pengujian, dan Produksi). Jika cakupan OAuth diubah, pengguna perlu mengulangi aktivitas ini.
- Di SAP GUI, masukkan kode transaksi
OA2C_GRANT
. Halaman login SAP akan terbuka di browser default. - Masuk dengan kredensial SAP Anda.
- Pilih client ID yang ingin Anda gunakan untuk mengakses API.
- Klik Request OAuth 2.0 Tokens.
Di layar izin Login dengan Google, masukkan kredensial akun Google Anda, lalu klik Allow.
Indikator hijau di kolom Status Akses menunjukkan akses ke resource API diizinkan sesuai dengan profil klien OAuth 2.0.
Skenario beberapa project Google Cloud
Jika Anda telah mengaktifkan Google Cloud API di lebih dari satu project Google Cloud, ikuti panduan ini untuk menyiapkan autentikasi menggunakan kredensial klien OAuth 2.0:
- Di semua project Google Cloud:
- Dalam sistem SAP Anda:
- Buat profil klien OAuth 2.0.
- Konfigurasi klien OAuth 2.0 untuk setiap client ID.
- Jika Anda perlu mengaitkan satu profil klien OAuth
ke lebih dari satu client ID, ikuti petunjuk tambahan berikut:
- Konfigurasikan klien OAuth 2.0 untuk setiap client ID. Saat mengonfigurasi klien OAuth 2.0, di kotak dialog Buat klien OAuth 2.0 baru, tentukan nama konfigurasi yang unik untuk setiap client ID. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi klien OAuth 2.0.
- Konfigurasikan kunci klien terpisah untuk setiap klien OAuth 2.0 dengan nama konfigurasinya sendiri di Parameter Otorisasi 2. Untuk informasi selengkapnya, lihat Mengonfigurasi kunci klien.
Mengautentikasi dengan menggunakan kunci API yang disimpan di SAP SSF
Langkah-langkah konfigurasi tingkat tinggi adalah sebagai berikut:
- Membuat kunci API
- Menyimpan kunci API di SSF
- Mengonfigurasi kunci klien
- Membuat tujuan RFC baru
- Mengonfigurasi pemetaan layanan
- Memvalidasi konfigurasi autentikasi
Membuat kunci API
Untuk autentikasi menggunakan kunci API, Anda perlu membuat kunci API.
String kunci API adalah string terenkripsi, misalnya, AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe
.
ABAP SDK untuk Google Cloud menggunakan string kunci API dalam permintaan HTTP untuk melakukan autentikasi dengan aman saat memanggil Google Cloud API.
Google Cloud menyediakan beberapa cara untuk membuat kunci API.
Untuk membuat kunci API menggunakan konsol Google Cloud, lakukan langkah-langkah berikut:
Di Konsol Google Cloud, buka halaman Langganan.
Klik Create Credentials dan pilih API key dari menu.
Dialog API key created akan menampilkan string kunci API. Salin string kunci Anda dan amankan. Anda memerlukan kunci API ini untuk mengonfigurasi autentikasi ke Google Cloud.
Secara default, kunci API tidak dibatasi. Sebaiknya batasi kunci API dengan memilih API yang dapat menggunakan kunci API ini. Untuk mengetahui informasi selengkapnya tentang cara menambahkan pembatasan API, lihat artikel Menambahkan pembatasan API.
Menyimpan kunci API di SSF
ABAP SDK untuk Google Cloud menyediakan opsi untuk menyimpan kunci API dengan aman menggunakan mekanisme SAP Secure Store and Forward (SSF).
Dengan menggunakan opsi SSF, Anda dapat menyimpan Kunci API dalam format terenkripsi di tabel /GOOG/APIKEY_BIN
. Saat API dipanggil, kunci API akan
diambil dari tabel /GOOG/APIKEY_BIN
, didekripsi, dan ditambahkan
ke URI endpoint API.
Untuk tujuan keamanan, Anda tidak boleh melihat konten /GOOG/APIKEY_BIN
menggunakan alat standar, transaksi seperti SE16
, SE16N
, atau SE11
.
Prasyarat
Untuk autentikasi menggunakan kunci API yang disimpan di SAP SSF, Anda harus menginstal SAP Cryptographic Library versi 8.5 dan yang lebih baru di sistem SAP. Untuk mengetahui informasi selengkapnya tentang SAP Cryptographic Library, lihat 1848999 - Central Note for CommonCryptoLib 8 (SAPCRYPTOLIB) dan 397175 - software SAP Cryptographic - kontrol ekspor.
Untuk memverifikasi versi SAP Cryptographic Library, lakukan langkah-langkah berikut:
- Di SAP GUI, masukkan kode transaksi
STRUST
. - Buka menu Environment, lalu klik Display SSF Version.
Menyiapkan aplikasi SSF
Pada tabel SSFAPPLIC
, buat aplikasi SSF baru ZG_APK
yang mengenkripsi kunci API. ZG_APK
adalah nama aplikasi SSF default.
Atau, Anda dapat membuat aplikasi SSF dengan nama pilihan Anda atau
menggunakan aplikasi SSF yang sudah ada dengan nama berbeda. Jika ingin menggunakan aplikasi SSF yang berbeda untuk enkripsi, Anda harus mengonfigurasi nama aplikasi SSF di Authorization Parameter 1
tabel kunci klien.
Untuk membuat entri baru dalam tabel SSFAPPLIC
, lakukan langkah-langkah berikut:
- Di SAP GUI, masukkan kode transaksi
SE16
. - Di kolom Table Name, masukkan
SSFAPPLIC
, lalu buat entri baru. - Di kolom
APPLIC
, masukkanZG_APK
. Tentukan nilai di kolom berikut.
Kolom Nilai APPLIC ZG_APK
B_TOOLKIT Pilih flag. B_FORMAT Pilih flag. B_PAB Pilih flag. B_PROFID Pilih flag. B_PROFILE Pilih flag. B_HASHALG Kosongkan kolom ini. B_ENCRALG Kosongkan kolom ini. B_INCCERTS Kosongkan kolom ini. B_DETACHED Kosongkan kolom ini. B_ASKPWD Kosongkan kolom ini. B_DISTRIB Pilih flag. DESCRIPT API Key Encryption for GCP
Simpan entri baru.
Membuat parameter SSF
Di SAP GUI, masukkan kode transaksi
SM30
.Buka tampilan
VSSFARGS
.Untuk aplikasi
ZG_APK
(API Key Encryption for GCP
), buat entri baru. Parameter SSF khusus aplikasi diisi secara otomatis.Simpan entri baru.
Membuat Lingkungan Keamanan Pribadi (Personal Security Environment/PSE)
Di SAP GUI, masukkan kode transaksi
STRUST
.Di bagian node SSF API Key Encryption for GCP, klik kanan dan pilih Create.
Di kolom Algorithm, pilih
RSA
. Biarkan kolom lain dengan nilai default yang diisi sistem.Simpan entri baru.
Menyimpan kunci API
Di GUI SAP, jalankan kode transaksi
/GOOG/SDK_IMG
.Atau, jalankan kode transaksi
SPRO
, lalu klik SAP Reference IMG.Klik ABAP SDK for Google Cloud > Basic Settings > Configure API Key (Using SSF).
Di Nama Kunci Google, masukkan nama konfigurasi kunci klien.
Pada kolom Kunci API, masukkan kunci API yang Anda buat sebelumnya di bagian Membuat kunci API.
Pilih Simpan.
Klik Execute untuk menyimpan kunci API.
Mengonfigurasi kunci klien
Di GUI SAP, jalankan kode transaksi
/GOOG/SDK_IMG
.Atau, jalankan kode transaksi
SPRO
, lalu klik SAP Reference IMG.Klik ABAP SDK for Google Cloud > Basic Settings > Configure Client Key.
Klik New Entries.
Masukkan nilai untuk kolom berikut:
Kolom Deskripsi Nama Kunci Google Cloud Tetapkan nama konfigurasi kunci klien. Misalnya, DEMO_API_KEY
.Nama Akun Layanan Google Cloud Kosongkan kolom ini. Cakupan Google Cloud Tentukan cakupan akses API, https://www.googleapis.com/auth/cloud-platform
.ID Project Tentukan ID project Google Cloud yang berisi API target Anda. Nama perintah Kosongkan kolom ini. Class Otorisasi Tentukan class otorisasi, /GOOG/CL_AUTH_API_KEY_SSF
.Pembuatan Cache Token Tanda yang menentukan apakah token akses yang diambil dari Google Cloud akan disimpan dalam cache atau tidak.
Sebaiknya aktifkan cache token setelah Anda selesai mengonfigurasi dan menguji koneksi ke Google Cloud. Untuk mengetahui informasi selengkapnya tentang penyimpanan token ke dalam cache, lihat Mengaktifkan penyimpanan token ke dalam cache.
detik Refresh Token Tentukan jumlah waktu, dalam detik, sebelum masa berlaku token akses berakhir dan harus dimuat ulang. Nilai defaultnya adalah 3500
.Parameter Otorisasi 1 Jika nama aplikasi SSF berbeda dengan ZG_APK
, tentukan nama aplikasi SSF Anda.Parameter Otorisasi 2 Kosongkan kolom ini. Simpan entri baru.
Membuat tujuan RFC baru
Untuk API yang ingin Anda gunakan dengan ABAP SDK untuk Google Cloud, buat tujuan RFC baru.
Untuk informasi tentang cara membuat tujuan RFC, lihat Tujuan RFC.
Jika tujuan RFC tidak dibuat dan dikonfigurasi, fungsi ABAP SDK untuk Google Cloud yang menggunakan endpoint API default akan dipertahankan dalam setiap stub klien API.
Mengonfigurasi pemetaan layanan
Konfigurasikan tabel pemetaan layanan untuk API yang ingin Anda gunakan menggunakan ABAP SDK untuk Google Cloud.
Di GUI SAP, jalankan kode transaksi
/GOOG/SDK_IMG
.Atau, jalankan kode transaksi
SPRO
, lalu klik SAP Reference IMG.Klik ABAP SDK for Google Cloud > Basic Settings > Configure Service Mapping.
Klik New Entries.
Tentukan tujuan RFC untuk API yang akan Anda gunakan, misalnya,
addressvalidation v1
. Jika Anda akan menggunakan API lain, tentukan tujuan RFC untuk API tersebut.Nama Nama Layanan RFC Destination Nama Kunci Google Cloud addressvalidation:v1
ZGOOG_ADDRVALDN_V1
Simpan entri baru.
Menghapus kunci API
Jika kunci API tidak lagi digunakan, Anda dapat menghapus kunci API tersebut dari sistem SAP.
Untuk menghapus kunci API, formulir dengan mengikuti langkah-langkah berikut:
Di GUI SAP, jalankan kode transaksi
/GOOG/SDK_IMG
.Atau, jalankan kode transaksi
SPRO
, lalu klik SAP Reference IMG.Klik ABAP SDK for Google Cloud > Basic Settings > Configure API Key (Using SSF).
Di kolom Google Key Name, masukkan nama konfigurasi kunci klien.
Pilih Hapus.
Klik Execute untuk menghapus kunci API.
Mengautentikasi dengan menggunakan kunci API yang disimpan di Secret Manager
Langkah-langkah konfigurasi tingkat tinggi adalah sebagai berikut:
- Membuat kunci API
- Membuat secret dan menyimpan kunci API
- Mengonfigurasi kunci klien untuk akses Secret Manager
- Mengonfigurasi kunci klien untuk secret
- Membuat tujuan RFC baru
- Mengonfigurasi pemetaan layanan
- Memvalidasi pengambilan kunci API dari Secret Manager
- Memvalidasi konfigurasi autentikasi
Membuat kunci API
Untuk autentikasi menggunakan kunci API, Anda perlu membuat kunci API.
String kunci API adalah string terenkripsi, misalnya, AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe
.
ABAP SDK untuk Google Cloud menggunakan string kunci API dalam permintaan HTTP untuk melakukan autentikasi dengan aman saat memanggil Google Cloud API.
Google Cloud menyediakan beberapa cara untuk membuat kunci API.
Untuk membuat kunci API menggunakan konsol Google Cloud, lakukan langkah-langkah berikut:
Di Konsol Google Cloud, buka halaman Langganan.
Klik Create Credentials dan pilih API key dari menu.
Dialog API key created akan menampilkan string kunci API. Salin string kunci Anda dan amankan. Anda memerlukan kunci API ini untuk mengonfigurasi autentikasi ke Google Cloud.
Secara default, kunci API tidak dibatasi. Sebaiknya batasi kunci API dengan memilih API yang dapat menggunakan kunci API ini. Untuk mengetahui informasi selengkapnya tentang cara menambahkan pembatasan API, lihat artikel Menambahkan pembatasan API.
Membuat secret dan menyimpan kunci API
ABAP SDK untuk Google Cloud menyediakan opsi untuk menyimpan kunci API dengan aman menggunakan layanan Secret Manager Google Cloud. Untuk menyimpan string kunci API dengan aman, Secret Manager memungkinkan Anda mengikuti praktik terbaik untuk menggunakan kunci API dengan aman.
Untuk membuat secret dan menyimpan kunci API, lakukan langkah-langkah berikut:
Mengaktifkan Secret Manager API.
Di konsol Google Cloud, buat secret, dan simpan kunci API sebagai versi terbaru.
Untuk mengetahui informasi tentang cara membuat secret, lihat Membuat rahasia.
ABAP SDK untuk Google Cloud secara default hanya mengambil versi terbaru secret.
Mengonfigurasi kunci klien untuk akses Secret Manager
Secret Manager API menggunakan token untuk autentikasi. Oleh karena itu, Anda perlu menyiapkan autentikasi berbasis token untuk mengakses Secret Manager API, bergantung pada deployment SAP Anda.
Gunakan salah satu metode berikut untuk menyiapkan autentikasi berbasis token untuk mengakses Secret Manager API:
Catat nama kunci klien yang Anda buat untuk akses Secret Manager.
Mengonfigurasi kunci klien untuk secret
Di GUI SAP, jalankan kode transaksi
/GOOG/SDK_IMG
.Atau, jalankan kode transaksi
SPRO
, lalu klik SAP Reference IMG.Klik ABAP SDK for Google Cloud > Basic Settings > Configure Client Key.
Klik New Entries.
Masukkan nilai untuk kolom berikut:
Kolom Deskripsi Nama Kunci Google Cloud Tetapkan nama konfigurasi kunci klien. Misalnya, DEMO_API_KEY
.Nama Akun Layanan Google Cloud Kosongkan kolom ini. Cakupan Google Cloud Tentukan cakupan akses API, https://www.googleapis.com/auth/cloud-platform
.ID Project Tentukan ID project Google Cloud yang berisi API target Anda. Nama perintah Kosongkan kolom ini. Class Otorisasi Tentukan /GOOG/CL_AUTH_API_KEY_SM
Pembuatan Cache Token Tanda yang menentukan apakah token akses yang diambil dari Google Cloud akan disimpan dalam cache atau tidak.
Sebaiknya aktifkan cache token setelah Anda selesai mengonfigurasi dan menguji koneksi ke Google Cloud. Untuk mengetahui informasi selengkapnya tentang penyimpanan token ke dalam cache, lihat Mengaktifkan penyimpanan token ke dalam cache.
detik Refresh Token Tentukan jumlah waktu, dalam detik, sebelum masa berlaku token akses berakhir dan harus dimuat ulang. Nilai defaultnya adalah 3500
.Parameter Otorisasi 1 Tentukan nama kunci klien yang Anda buat untuk akses Secret Manager. Misalnya, CLIENT_KEY_SM
.Parameter Otorisasi 2 Tentukan nama secret, yang menyimpan kunci API-nya. Misalnya, TEST_SECRET
.Simpan entri baru.
Membuat tujuan RFC baru
Untuk API yang ingin Anda gunakan dengan ABAP SDK untuk Google Cloud, buat tujuan RFC baru.
Untuk informasi tentang cara membuat tujuan RFC, lihat Tujuan RFC.
Jika tujuan RFC tidak dibuat dan dikonfigurasi, fungsi ABAP SDK untuk Google Cloud yang menggunakan endpoint API default akan dipertahankan dalam setiap stub klien API.
Mengonfigurasi pemetaan layanan
Konfigurasikan tabel pemetaan layanan untuk API yang ingin Anda gunakan menggunakan ABAP SDK untuk Google Cloud.
Di GUI SAP, jalankan kode transaksi
/GOOG/SDK_IMG
.Atau, jalankan kode transaksi
SPRO
, lalu klik SAP Reference IMG.Klik ABAP SDK for Google Cloud > Basic Settings > Configure Service Mapping.
Klik New Entries.
Tentukan tujuan RFC untuk API yang akan Anda gunakan, misalnya,
addressvalidation v1
. Jika Anda akan menggunakan API lain, tentukan tujuan RFC untuk API tersebut.Nama Nama Layanan RFC Destination Nama Kunci Google Cloud addressvalidation:v1
ZGOOG_ADDRVALDN_V1
Simpan entri baru.
Memvalidasi pengambilan kunci API dari Secret Manager
Untuk memvalidasi pengambilan kunci API dari Secret Manager, lakukan langkah-langkah berikut:
-
Di GUI SAP, jalankan kode transaksi
/GOOG/SDK_IMG
.Atau, jalankan kode transaksi
SPRO
, lalu klik SAP Reference IMG. - Klik ABAP SDK for Google Cloud > Utilities > validate API key retrieval (Using Secret Manager).
- Tentukan nama kunci klien.
- Klik Execute untuk memeriksa apakah kunci API berhasil diambil dari Secret Manager.
Memvalidasi konfigurasi autentikasi
Untuk memvalidasi konfigurasi autentikasi, lakukan langkah-langkah berikut:
Di GUI SAP, jalankan kode transaksi
/GOOG/SDK_IMG
.Atau, jalankan kode transaksi
SPRO
, lalu klik SAP Reference IMG.Klik ABAP SDK for Google Cloud > Utilities > Validate Authentication Configuration.
Masukkan nama kunci klien.
Klik Execute untuk memeriksa apakah keseluruhan alur berhasil dikonfigurasi.
Centang hijau di kolom Result menunjukkan bahwa semua langkah konfigurasi berhasil diselesaikan.
Dapatkan dukungan
Jika Anda memerlukan bantuan untuk menyelesaikan masalah terkait ABAP SDK untuk Google Cloud, lakukan hal berikut:
Lihat panduan pemecahan masalah ABAP SDK untuk Google Cloud.
Ajukan pertanyaan dan diskusikan ABAP SDK untuk Google Cloud dengan komunitas di Cloud Forums.
Kumpulkan semua informasi diagnostik yang tersedia dan hubungi Cloud Customer Care. Untuk mengetahui informasi tentang cara menghubungi Customer Care, lihat Mendapatkan dukungan untuk SAP di Google Cloud.