Mengautentikasi menggunakan token akses

Dokumen ini menunjukkan cara menyiapkan autentikasi untuk mengakses Google Cloud API saat sistem SAP Anda dihosting di instance VM Compute Engine.

Menyiapkan autentikasi

Untuk menyiapkan autentikasi, lakukan langkah-langkah berikut:

1. Di Konsol Google Cloud, aktifkan IAM Service Account Credentials API untuk project Google Cloud yang memerlukan autentikasi. Bersama dengan IAM Service Account Credentials API, Anda perlu mengaktifkan API yang didukung lainnya yang ingin diakses menggunakan SDK.

   Buka koleksi API

   Untuk mengetahui informasi tentang cara mengaktifkan Google Cloud API, lihat Mengaktifkan API.

2. Di konsol Google Cloud, buat akun layanan IAM untuk instance VM host.

   Buka halaman Service accounts

   Untuk mengetahui informasi tentang cara membuat akun layanan, lihat Membuat akun layanan.

3. Berikan peran Service Account Token Creator ke akun layanan. Untuk mengetahui petunjuknya, lihat Memberikan satu peran.

4. Lampirkan akun layanan ke instance VM tempat beban kerja SAP Anda berjalan. Selain itu, tetapkan cakupan akses VM ke cloud-platform.

   • Jika Anda menentukan akun layanan menggunakan konsol Google Cloud, cakupan akses VM akan otomatis ditetapkan ke cakupan cloud-platform secara default.

   • Jika menentukan akun layanan menggunakan Google Cloud CLI atau Compute Engine API, Anda harus menetapkan cakupan akses API ke Allow full access to all Cloud APIs.

     Untuk mengetahui petunjuknya, lihat Membuat VM dan melampirkan akun layanan.

     Setelah memperbarui cakupan, mulai ulang VM. Jika memiliki beberapa instance VM untuk penginstalan SAP yang sama, Anda harus menyelesaikan langkah ini di semua instance VM tersebut.

5. Di konsol Google Cloud, buat akun layanan IAM khusus untuk mengakses Google Cloud API.

   Buka halaman Service accounts

   Untuk mengetahui petunjuknya, lihat Membuat akun layanan.

6. Berikan peran IAM yang diperlukan kepada akun layanan untuk mengakses fungsi API. Untuk memahami persyaratan peran untuk Google Cloud API, lihat dokumentasi API individual dan ikuti prinsip hak istimewa terendah. Untuk mengetahui informasi selengkapnya tentang peran bawaan khusus API, lihat Menemukan peran IAM untuk Google Cloud API.

7. Jika Anda membuat akun layanan dalam project yang berbeda dengan project yang berisi Google Cloud API, Anda harus melakukan langkah-langkah tambahan untuk membuat akun layanan. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan akun layanan di lingkungan lintas project.

8. Dalam sistem SAP, konfigurasi kunci klien:

   1. Di SAP GUI, jalankan kode transaksi /GOOG/SDK_IMG.

      Atau, jalankan kode transaksi SPRO, lalu klik IMG Referensi SAP.

   2. Klik ABAP SDK for Google Cloud > Basic Settings > Configure Client Key.

   3. Klik New Entries.

   4. Masukkan nilai untuk kolom berikut:

      Kolom	Deskripsi
      Nama Kunci Google Cloud	Tentukan nama konfigurasi kunci klien. Misalnya, TEST_PUBSUB.
      Nama Akun Layanan Google Cloud	Tentukan nama akun layanan yang telah Anda beri izin untuk mengakses Google Cloud API. Contoh, sap-example-svc-acct@example-project-123456.. Jika VM host sistem SAP Anda yang berisi SDK berada di project yang berbeda dengan project yang mengaktifkan Google Cloud API, tentukan akun layanan yang digunakan untuk mengakses Google Cloud API. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan akun layanan di lingkungan lintas project.
      Cakupan Google Cloud	Tentukan cakupan akses API, https://www.googleapis.com/auth/cloud-platform.
      ID Project Google Cloud	Tentukan ID project Google Cloud yang berisi API target Anda.
      Nama perintah	Kosongkan kolom ini.
      Class Otorisasi	Tentukan class otorisasi, /GOOG/CL_AUTH_GOOGLE.
      Caching Token	Tanda yang menentukan apakah token akses yang diambil dari Google Cloud disimpan ke cache atau tidak. Sebaiknya aktifkan penyimpanan token ke dalam cache setelah Anda selesai mengonfigurasi dan menguji koneksi Anda ke Google Cloud. Untuk mengetahui informasi selengkapnya tentang penyimpanan token ke dalam cache, lihat Mengaktifkan penyimpanan token ke dalam cache.
      Detik Pembaruan Token	Lama waktu, dalam detik, sebelum masa berlaku token akses berakhir dan harus dimuat ulang. Nilai defaultnya adalah 3500.
      Parameter Otorisasi 1	Kosongkan kolom ini.
      Authorization Parameter 2	Kosongkan kolom ini.

   5. Simpan entri baru.

9. Dalam sistem SAP, buat tujuan RFC baru untuk API yang akan Anda gunakan dengan menggunakan ABAP SDK untuk Google Cloud.

   Untuk informasi tentang cara membuat tujuan RFC, lihat Tujuan RFC.

10. Dalam sistem SAP, konfigurasikan tabel pemetaan layanan untuk IAM API, dan API lain yang akan Anda gunakan dengan menggunakan ABAP SDK untuk Google Cloud.

    1. Di SAP GUI, jalankan kode transaksi /GOOG/SDK_IMG.

       Atau, jalankan kode transaksi SPRO, lalu klik IMG Referensi SAP.

    2. Klik ABAP SDK for Google Cloud > Basic Settings > Configure Service Mapping.

    3. Klik New Entries.

    4. Tentukan tujuan RFC untuk IAM API dan API lainnya, misalnya, Pub/Sub API v1.

       Nama	Nama Layanan	RFC Destination
       Nama Kunci Google Cloud	iamcredentials.googleapis.com	ZGOOG_IAMCREDENTIALS
       Nama Kunci Google Cloud	pubsub:v1	ZGOOG_PUBSUB_V1

    5. Simpan entri baru.

11. Dalam sistem SAP, validasi konfigurasi autentikasi. Untuk mengetahui informasi selengkapnya, lihat Memvalidasi konfigurasi autentikasi.

Menyiapkan akun layanan di lingkungan lintas project

VM host sistem SAP Anda, yang berisi SDK, dapat berada di project Google Cloud yang berbeda dari yang mengaktifkan Google Cloud API. Dalam hal ini, Anda harus menyiapkan akun layanan dengan peran IAM yang diperlukan sehingga SDK dapat mengakses API dari project lain.

Tabel berikut menunjukkan contoh penyiapan akun layanan untuk akses API lintas project.

Lingkungan	VM host SAP	Google Cloud API
Project Google Cloud	project-sap-host	project-google-apis
Akun layanan yang ditetapkan ke VM host SAP	sa-sap-host@project-sap-host.	T/A
Akun layanan untuk mengakses Google Cloud API	sa-google-apis@project-sap-host.	T/A
Peran IAM untuk akun layanan	Pada project project-sap-host, berikan peran sa-sap-host@project-sap-host. Service Account Token Creator untuk akun layanan.	Pada project project-google-apis, tambahkan akun layanan sa-google-apis@project-sap-host. sebagai prinsip dan berikan peran yang sesuai ke akun layanan untuk terhubung ke Google Cloud API.

Untuk menyiapkan akun layanan, lakukan langkah-langkah berikut:

1. Dalam project Google Cloud yang berisi VM host SAP Anda, berikan peran Service Account Token Creator ke akun layanan VM host SAP. Untuk mengetahui informasi selengkapnya tentang langkah-langkahnya, lihat Memberikan satu peran.
2. Dalam project Google Cloud yang berisi VM host SAP Anda, buat akun layanan. Catat nama akun layanan. Anda menentukan nama ini saat menambahkan akun layanan sebagai prinsip ke project lain yang berisi Google Cloud API.

3. Dalam project lain yang berisi Google Cloud API, tambahkan akun layanan sebagai prinsip dan berikan peran yang sesuai untuk terhubung ke Google Cloud API. Untuk menambahkan akun layanan ke project Google Cloud yang berisi Google Cloud API, lakukan langkah-langkah berikut:

   1. Di Konsol Google Cloud, buka halaman Izin IAM:

      Buka halaman IAM permissions

   2. Pastikan nama project yang berisi Google Cloud API target ditampilkan di dekat bagian atas halaman. Contoh:

      Izin untuk project "PROJECT_NAME"

      Jika tidak, ganti project.

   3. Di halaman IAM, klik person_addGrant access. Dialog Berikan akses ke "PROJECT_NAME" akan terbuka.

   4. Di kolom New principals, tentukan nama akun layanan.

   5. Di kolom Pilih peran, tentukan peran yang relevan. Misalnya, untuk Pub/Sub, jika ingin mengubah topik dan langganan, serta akses untuk memublikasikan dan menggunakan pesan, Anda dapat menentukan peran Pub/Sub Editor (roles/pubsub.editor).

      Untuk mengetahui informasi selengkapnya tentang peran bawaan khusus API, lihat Referensi peran dasar dan bawaan IAM.

   6. Tambahkan peran tambahan sesuai kebutuhan untuk penggunaan API Anda. Terapkan praktik terbaik yang direkomendasikan Google dengan menerapkan prinsip hak istimewa terendah.

   7. Klik Simpan. Akun layanan akan muncul dalam daftar akun utama project di halaman IAM.

Memvalidasi konfigurasi autentikasi

Untuk memvalidasi konfigurasi autentikasi, lakukan langkah-langkah berikut:

1. Di SAP GUI, jalankan kode transaksi /GOOG/SDK_IMG.

   Atau, jalankan kode transaksi SPRO, lalu klik IMG Referensi SAP.

2. Klik ABAP SDK for Google Cloud > Utilities > Validate Authentication Configuration.

3. Masukkan nama kunci klien.

4. Klik Execute untuk memeriksa apakah keseluruhan alur berhasil dikonfigurasi.

   Centang hijau di kolom Result menunjukkan bahwa semua langkah konfigurasi berhasil diselesaikan.

Mendapatkan dukungan

Jika Anda memerlukan bantuan untuk menyelesaikan masalah terkait ABAP SDK untuk Google Cloud, lakukan langkah-langkah berikut:

• Lihat panduan pemecahan masalah ABAP SDK untuk Google Cloud.

• Ajukan pertanyaan dan diskusikan ABAP SDK untuk Google Cloud dengan komunitas di Cloud Forum.

• Kumpulkan semua informasi diagnostik yang tersedia dan hubungi Cloud Customer Care. Untuk mengetahui informasi tentang cara menghubungi Customer Care, lihat Mendapatkan dukungan untuk SAP di Google Cloud.