Autenticazione per richiamare le funzioni Cloud Run

In qualità di sviluppatore, puoi scrivere funzioni Cloud Run, che forniscono endpoint HTTP. Puoi richiamare le funzioni Cloud Run dalla classe SDK ABAP/GOOG/CL_CLOUDFUNC_INVOKER utilizzando i relativi endpoint HTTP.

Il processo prevede la chiamata di una funzione Cloud Run utilizzando il nome e la posizione per ottenere l'endpoint HTTP della funzione. Questo endpoint viene poi utilizzato per invocare la funzione. L'autenticazione per le funzioni Cloud Run richiede un token ID per richiamare l'endpoint HTTP.

I passaggi di configurazione di alto livello sono i seguenti:

Abilita le API Google Cloud

Nella console Google Cloud, abilita le seguenti API Google Cloud:

Per informazioni su come abilitare le API Google Cloud, consulta Abilitazione delle API.

Crea un account di servizio per ottenere i dettagli della funzione Cloud Run

  1. Nella console Google Cloud, crea un account di servizio IAM per recuperare i dettagli della funzione Cloud Run.

    Vai ad Account di servizio

    Per informazioni su come creare un account di servizio, vedi Creare un account di servizio.

  2. Concedi i seguenti ruoli all'account di servizio:

    Per istruzioni, vedi Concedere un singolo ruolo.

Crea un altro account di servizio per richiamare le funzioni Cloud Run

  1. Nella console Google Cloud, crea un account di servizio dedicato per invocare le funzioni Cloud Run.

    Vai ad Account di servizio

    Per informazioni su come creare un account di servizio, vedi Creare un account di servizio.

  2. A seconda della generazione di funzioni Cloud Run che stai chiamando, concedi i ruoli appropriati all'account di servizio:

    Per ulteriori informazioni sulle autorizzazioni per richiamare una funzione, consulta Eseguire l'autenticazione per la chiamata.

Configurare l'autenticazione per le funzioni Cloud Run

A seconda dell'ambiente in cui è ospitato il sistema SAP, puoi utilizzare uno dei seguenti metodi per configurare l'autenticazione basata su token per accedere all'API Cloud Run Functions:

Sistema SAP ospitato su VM Compute Engine

Per istruzioni su come configurare l'autenticazione per accedere all'API Cloud Run Functions quando il sistema SAP è ospitato su un'istanza VM Compute Engine, consulta Eseguire l'autenticazione utilizzando i token di accesso. Configura una chiave client con l'account di servizio che hai creato per ottenere i dettagli della funzione Cloud Run.

Sistema SAP RISE o SAP ospitato al di fuori di Google Cloud

Configura l'autenticazione per accedere alle API Cloud Run Functions utilizzando uno dei seguenti metodi di autenticazione:

Configura una chiave client con l'account di servizio che hai creato per ottenere i dettagli della funzione Cloud Run.

Configura la chiave client per richiamare le funzioni Cloud Run

A seconda dell'ambiente in cui è ospitato il sistema SAP, utilizza valori diversi per la configurazione della chiave client:

Sistema SAP ospitato su VM Compute Engine

  1. In SAP GUI, esegui il codice transazione /GOOG/SDK_IMG.

    In alternativa, esegui il codice transazione SPRO e poi fai clic su Immagine di riferimento SAP.

  2. Fai clic su ABAP SDK for Google Cloud > Impostazioni di base > Configura chiave client.

  3. Fai clic su Nuove voci.

  4. Inserisci i valori per i seguenti campi:

    Campo Descrizione
    Nome della chiave Google Cloud Specifica un nome per la configurazione della chiave client.
    Nome dell'account di servizio Google Cloud

    Specifica il nome dell'account di servizio a cui hai concesso le autorizzazioni per richiamare le funzioni Cloud Run. Ad esempio: sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com.

    Ambito Google Cloud Specifica l'ambito di accesso, https://www.googleapis.com/auth/cloud-platform.
    ID progetto Specifica l'ID del progetto Google Cloud in cui è abilitata l'API Cloud Functions di Cloud Run.
    Nome del comando Lascia vuoto questo campo.
    Classe di autorizzazione Specifica la classe di autorizzazione /GOOG/CL_AUTH_ID_TOKEN.
    Campo di autorizzazione Lascia vuoto questo campo.
    Memorizzazione nella cache dei token Lascia vuoto questo campo.
    Secondi di aggiornamento token Lascia vuoto questo campo.
    Parametro di autorizzazione 1 Lascia vuoto questo campo.
    Parametro di autorizzazione 2 Lascia vuoto questo campo.
  5. Salva la nuova voce.

Sistema SAP RISE o SAP ospitato al di fuori di Google Cloud

  1. In SAP GUI, esegui il codice transazione /GOOG/SDK_IMG.

    In alternativa, esegui il codice transazione SPRO e poi fai clic su Immagine di riferimento SAP.

  2. Fai clic su ABAP SDK for Google Cloud > Impostazioni di base > Configura chiave client.

  3. Fai clic su Nuove voci.

  4. Inserisci i valori per i seguenti campi:

    Campo Descrizione
    Nome della chiave Google Cloud Specifica un nome per la configurazione della chiave client.
    Nome dell'account di servizio Google Cloud

    Specifica il nome dell'account di servizio a cui hai concesso le autorizzazioni per richiamare le funzioni Cloud Run. Ad esempio: sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com.

    Ambito Google Cloud Specifica l'ambito di accesso, https://www.googleapis.com/auth/cloud-platform.
    ID progetto Specifica l'ID del progetto Google Cloud in cui è abilitata l'API Cloud Functions di Cloud Run.
    Nome del comando Lascia vuoto questo campo.
    Classe di autorizzazione Specifica la classe di autorizzazione come segue:
    • Per l'autenticazione tramite JWT, specifica /GOOG/CL_AUTH_JWT_ID_TOKEN.
    • Per l'autenticazione tramite la federazione delle identità di carico di lavoro, specifica la classe secondaria, che contiene l'implementazione della classe /GOOG/CL_AUTH_WIF_ID_TOKEN. Per maggiori informazioni, consulta Implementare il codice ABAP per recuperare i token di sicurezza dall'IDP.
    Campo di autorizzazione Lascia vuoto questo campo.
    Memorizzazione nella cache dei token Lascia vuoto questo campo.
    Secondi di aggiornamento token Lascia vuoto questo campo.
    Parametro di autorizzazione 1
    • Per l'autenticazione tramite JWT, se utilizzi un nome personalizzato per l'applicazione SSF, specifica il nome dell'applicazione SSF che hai creato nella sezione Creare una nuova applicazione SSF (Secure Store and Forward).
    • Per l'autenticazione tramite la federazione delle identità per i carichi di lavoro, specifica l'ID del pool di identità per i carichi di lavoro.
    Parametro di autorizzazione 2
    • Per l'autenticazione tramite JWT, lascia vuoto questo campo.
    • Per l'autenticazione tramite la federazione delle identità per i carichi di lavoro, specifica l'ID del provider di identità per i carichi di lavoro.
  5. Salva la nuova voce.

Assistenza

Se hai bisogno di aiuto per risolvere i problemi relativi all'SDK ABAP per Google Cloud, segui questi passaggi: