Questo documento mostra come configurare l'autenticazione per accedere a Google Cloud API quando il sistema SAP è in esecuzione su un host è on-premise, su un altro cloud provider, in un altro ambiente esterno di Google Cloud o gestite SAP tramite il programma SAP RISE. Per l'autenticazione Google Cloud, utilizzi Google Cloud JWT (JSON Web Token) firmati per ottenere token di accesso da Google Cloud.
Di seguito sono riportati i passaggi per la configurazione generale:
- Crea un account di servizio per il recupero di token basato su JWT.
- Configura le impostazioni di sicurezza per Google Cloud sull'host SAP.
- Abilita le API Google Cloud.
- Crea un altro account di servizio per l'autorizzazione ad accedere alle API Google Cloud.
- Crea configurazioni SAP.
- Convalida la configurazione dell'autenticazione.
Crea un account di servizio per il recupero dei token basato su JWT
Per l'autenticazione basata su JWT in Google Cloud, l'SDK ABAP per Google Cloud richiede un account di servizio IAM.
Crea un account di servizio
Crea un account di servizio e concedi l'autorizzazione IAM Service Account Token Creator
di servizio all'account di servizio.
Per creare un account di servizio, segui questi passaggi:
Nella console Google Cloud, crea un account di servizio IAM. per il recupero di token basati su JWT.
Per informazioni su come creare un account di servizio, vedi Creare un account di servizio.
Concedi il ruolo
Service Account Token Creator
all'account di servizio. Per le istruzioni, vedi Concedere un singolo ruolo.
Crea una chiave dell'account di servizio
Devi creare una chiave dell'account di servizio P12 per l'account di servizio utilizzato per Recupero di token basato su JWT.
Per creare una chiave dell'account di servizio, segui questi passaggi:
Nella console Google Cloud, vai alla sezione IAM e Pagina Account di servizio per amministratori.
Selezionare il tuo progetto Google Cloud.
Fai clic sull'indirizzo email dell'account di servizio che hai creato per JWT. basato sul recupero del token nella sezione precedente, Creare un account di servizio.
Sotto il nome dell'account di servizio, fai clic sulla scheda Chiavi.
Fai clic sul menu a discesa Aggiungi chiave e seleziona Crea nuova chiave. per creare una chiave dell'account di servizio.
Accettare P12 come tipo di chiave e fare clic su Crea.
Una chiave privata viene scaricata sul computer.
Prendi nota della password del file della chiave privata,
notasecret
.Fornisci la chiave privata e la password al tuo SAP amministratore di importare la chiave privata in
STRUST
, come descritto in Importare la chiave dell'account di servizio in STRUST.
Specifica l'account di servizio per la firma JWT
Se hai creato l'account di servizio per l'accesso JWT in un progetto diverso rispetto al progetto che contiene le API Google Cloud, dovrai per specificare l'account di servizio sul sistema host SAP.
Se hai creato l'account di servizio nello stesso progetto che contiene API Google Cloud, puoi saltare questo passaggio.
Per specificare l'account di servizio per la firma JWT, segui questi passaggi:
Nella GUI di SAP, esegui il codice della transazione
/GOOG/SDK_IMG
.In alternativa, esegui il codice transazione
SPRO
, quindi fai clic su IMG riferimento SAP.Fai clic su SDK ABAP per Google Cloud > Impostazioni di base > Configura parametri.
Fai clic su Nuove voci.
Nel campo Nome parametro, inserisci
JWT_SERVC_ACCT
. La descrizione del parametro viene compilata automaticamente.Nel campo Valore parametro, inserisci il nome dell'account di servizio.
Salva la nuova voce.
Configura le impostazioni di sicurezza per Google Cloud sul sistema host SAP
Per abilitare la firma JWT per l'account di servizio che hai creato per l'account di servizio basato su JWT il recupero del token, devi configurare le impostazioni di sicurezza Google Cloud sul sistema host SAP.
Crea una nuova applicazione Secure Store and Forward (SSF)
Ogni voce SSFAPPLIC
ti consente di salvare una singola chiave dell'account di servizio.
Per salvare le chiavi degli account di servizio per più progetti, devi creare
più voci SSFAPPLIC
seguendo la stessa procedura.
Per creare una nuova voce nella tabella SSFAPPLIC
:
- Nella GUI di SAP, inserisci il codice della transazione
SE16
. - Nel campo Nome tabella, inserisci
SSFAPPLIC
e crea una nuova voce. - Nel campo APPLIC, inserisci un nome per l'applicazione SSF, ad esempio
ZG_JWT
. - Ad eccezione di B_INCCERTS, B_DETACHED, B_ASKPWD e B_DISTRIB seleziona tutti gli altri campi.
- Nel campo DESCRIPT, inserisci
JWT Signature for GCP
. Salva la nuova voce.
Questa voce diventa un nuovo nodo nella transazione
STRUST
, in cui importi la chiave dell'account di servizio.
Abilita il nodo STRUST
Utilizza la transazione SSFA
per abilitare il nodo STRUST
per JWT Signature for GCP
.
Per abilitare il nodo STRUST
:
- Nella GUI di SAP, inserisci il codice della transazione
SSFA
. - Fai clic su Nuove voci.
Nell'elenco a discesa SSF Application, seleziona
JWT Signature for GCP
. Questa è la nuova voce che hai creato nella tabellaSSFAPPLIC
.I parametri SSF specifici per l'applicazione vengono compilati automaticamente.
Salva la nuova voce.
Un nuovo nodo
SSF JWT Signature for GCP
è abilitato nella transazioneSTRUST
.
Importa la chiave dell'account di servizio in STRUST
Per importare la chiave dell'account di servizio in STRUST
:
Nella GUI di SAP, inserisci il codice della transazione
STRUST
.Verifica che il nuovo nodo nella transazione
STRUST
siaSSF JWT Signature for GCP
.Importa il file della chiave privata:
- Seleziona PSE > Importa dalla barra dei menu.
- A seconda del sistema SAP, seleziona la chiave privata appropriata:
- SAP S/4HANA
- Seleziona la chiave privata P12.
- Inserisci la password del file
notasecret
e fai clic su OK.
- ECC SAP
- Seleziona la chiave privata PSE. Devi convertire la chiave privata P12 scaricato in precedenza in una chiave privata PSE. Per ulteriori informazioni informazioni sulla conversione di una chiave P12 in una chiave PSE, consulta Converti la chiave P12 in chiave PSE.
- Inserisci il PIN del file che hai creato durante la conversione della chiave privata dalla chiave P12 alla chiave PSE, quindi fai clic su OK.
- SAP S/4HANA
Seleziona PSE > Salva con nome.
Seleziona SSF Application e nel campo di immissione corrispondente, Seleziona il nuovo nodo dell'applicazione SSF che hai creato in Creare una nuova applicazione Secure Store and Forward (SSF).
Salva la nuova voce.
La chiave di servizio è collegata al nodo dell'applicazione SSF
SSF JWT Signature for GCP
.
Converti la chiave privata P12 in chiave PSE
Se il sistema SAP è SAP NetWeaver 7.0x (SAP ECC), occorre la chiave P12 in una chiave PSE.
Per convertire la chiave P12 in una chiave PSE, segui questi passaggi:
Vai al percorso:
/usr/sap/SID/SYS/exe/run/
Sostituisci SID con l'ID di sistema SAP.
Esegui questo comando dopo aver sostituito i segnaposto:
sapgenpse import_p12 -p PSE_PATH_AND_FILE_NAME P12_PATH_AND_FILE_NAME.p12
Sostituisci quanto segue:
PSE_PATH_AND_FILE_NAME
: specifica il percorso e il nome file del file PSEP12_PATH_AND_FILE_NAME
: specifica il percorso e il nome del file di chiave P12
Inserisci la password del file della chiave privata P12,
notasecret
.Crea un nuovo PIN per la chiave privata del PSE e inseriscilo di nuovo.
Prendi nota del PIN, che dovrai fornire durante l'importazione del PSE file della chiave privata in
STRUST
.
Per informazioni da SAP su come convertire una chiave P12 in un chiave PSE, consulta:
Abilita le API Google Cloud
Nella console Google Cloud, abilita l'API IAM Service Account Credentials per il tuo progetto Google Cloud che richiede l'autenticazione. Oltre all'API IAM Service Account Credentials, devi abilitare qualsiasi altra API supportate a cui prevedi di accedere utilizzando l'SDK.
Per informazioni su come abilitare le API Google Cloud, consulta Abilitazione delle API.
Crea un account di servizio per l'autorizzazione ad accedere alle API Google Cloud
Per l'autenticazione e l'autorizzazione ad accedere alle API Google Cloud, L'SDK ABAP per Google Cloud richiede un account di servizio IAM.
Crea un account di servizio
Nella console Google Cloud, crea un modello IAM l'account di servizio. Questo account di servizio deve essere un'entità nel progetto Google Cloud che contiene le API Google Cloud che prevedi di utilizzare con l'SDK. Se crei l'account di servizio nella stesso progetto che contiene le API Google Cloud, quindi l'account di servizio viene aggiunta automaticamente come entità al progetto.
Se crei l'account di servizio in un progetto diverso da quello in cui sono abilitate le API Google Cloud, devi aggiungere l'account di servizio al progetto in un passaggio aggiuntivo.
Nella console Google Cloud, crea un account di servizio IAM. per l'autenticazione l'autorizzazione ad accedere alle API Google Cloud.
Per informazioni su come creare un account di servizio, vedi Creare un account di servizio.
Nella console Google Cloud, concedi all'account di servizio le autorizzazioni IAM richieste ruoli per accedere all'API funzionalità. Per comprendere i requisiti dei ruoli per le API Google Cloud, visualizza la documentazione sulle singole API e segui il principio del privilegio minimo. Per ulteriori informazioni per informazioni sui ruoli predefiniti specifici per le API, consulta Trovare i ruoli IAM per le API Google Cloud.
Se hai creato l'account di servizio in un progetto diverso da quello del progetto che contiene le API Google Cloud che prevedi di utilizzare utilizzando SDK, quindi prendi nota del nome dell'account di servizio. Puoi specificare il nome quando aggiungi l'account di servizio a quel progetto. Per saperne di più, consulta Aggiungere l'account di servizio al progetto Google Cloud.
Aggiungi l'account di servizio al progetto Google Cloud
Se hai creato l'account di servizio per l'SDK ABAP per Google Cloud in un progetto diverso dal progetto che contiene le API Google Cloud che prevedi consumare usando l'SDK, devi aggiungere l'account di servizio al progetto Google Cloud contiene le API Google Cloud.
Se hai creato l'account di servizio nello stesso progetto che contiene API Google Cloud, puoi saltare questo passaggio.
Aggiungere un account di servizio esistente al progetto Google Cloud che contiene le API Google Cloud, segui questi passaggi:
Nella console Google Cloud, vai alla sezione IAM Pagina Autorizzazioni:
Conferma che il nome del progetto che contiene la destinazione Le API Google Cloud sono visualizzate nella parte superiore della pagina. Ad esempio:
Autorizzazioni per il progetto "
PROJECT_NAME
"In caso contrario, cambia progetto.
Nella pagina IAM, fai clic su
Concedi l'accesso. La Si apre la finestra di dialogo Concedi l'accesso a "PROJECT_NAME
".Nella finestra di dialogo Concedi l'accesso a "
PROJECT_NAME
", segui questi passaggi:- Nel campo Nuove entità, specifica il nome dell'account di servizio.
Nel campo Seleziona un ruolo, specifica un ruolo pertinente. Ad esempio, per Pub/Sub, per modificare argomenti e sottoscrizioni, per pubblicare e utilizzare messaggi, puoi specificare il ruolo Editor Pub/Sub (
roles/pubsub.editor
).Per maggiori dettagli sui ruoli predefiniti specifici delle API, consulta Riferimento per i ruoli IAM di base e predefiniti.
Aggiungi altri ruoli in base alle necessità per l'utilizzo dell'API. Implementa Google le best practice consigliate applicando il principio del privilegio minimo.
Fai clic su Salva. L'account di servizio viene visualizzato nell'elenco dei progetti delle entità della pagina IAM.
Ora l'account di servizio può essere utilizzato per accedere alle API Google Cloud in questo progetto.
Configura connessione HTTPS
Il server di applicazioni SAP è necessario per connettersi alle API Google Cloud mediante HTTPS.
Sull'host SAP, verifica che le regole firewall sono configurati in modo da consentire il traffico in uscita dalla porta HTTPS le API Google Cloud richieste.
Nello specifico, il sistema SAP deve essere in grado di accedere a quanto segue Endpoint API:
https://iamcredentials.googleapis.com
- Endpoint API per le API che vuoi utilizzare utilizzando l'SDK.
Crea configurazioni SAP
Per l'autenticazione basata su JWT, crea le configurazioni SAP richieste.
Specifica le impostazioni di accesso nella tabella delle chiavi client
Per specificare le impostazioni di accesso, segui questi passaggi:
Nella GUI di SAP, esegui il codice della transazione
/GOOG/SDK_IMG
.In alternativa, esegui il codice transazione
SPRO
, quindi fai clic su IMG riferimento SAP.Fai clic su SDK ABAP per Google Cloud > Impostazioni di base > Configura chiave client.
Fai clic su Nuove voci.
Inserisci i valori nei seguenti campi:
Campo Descrizione Nome chiave Google Cloud Specifica un nome per la configurazione della chiave client. Nome dell'account di servizio Google Cloud Specifica il nome dell'account di servizio nel formato dell'indirizzo email. creato per l'SDK ABAP per Google Cloud nel passaggio Crea un account di servizio. Ad esempio:
sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com
.Ambito di Google Cloud Specifica l'ambito di accesso, https://www.googleapis.com/auth/cloud-platform
.ID progetto Specifica l'ID del progetto Google Cloud che contiene le API di destinazione. Nome comando Lascia vuoto questo campo. Classe di autorizzazione Specifica la classe di autorizzazione, /GOOG/CL_AUTH_JWT
.Campo di autorizzazione Lascia vuoto questo campo. Secondi di aggiornamento del token Lascia vuoto questo campo. Parametro di autorizzazione 1 Specifica il nome dell'applicazione SSF che hai creato nella sezione Crea una nuova applicazione Secure Store and Forward (SSF). Salva la nuova voce.
Crea nuove destinazioni RFC
Crea destinazioni RFC per l'API IAM e altre API che prevedi per il consumo con l'SDK ABAP per Google Cloud, ad esempio l'API Pub/Sub v1.
Nome destinazione RFC | Note |
---|---|
ZGOOG_IAMCREDENTIALS |
Questa destinazione RFC ha come target l'API IAM . |
ZGOOG_OAUTH2_TOKEN |
Questa destinazione RFC ha come target l'endpoint Google Cloud per il token basata sull'autenticazione basata su cloud. |
ZGOOG_PUBSUB_V1 |
Questa destinazione RFC ha come target l'API Pub/Sub. |
Per informazioni sulla creazione di destinazioni RFC, consulta le destinazioni RFC.
Specifica le destinazioni RFC nella tabella di mappatura dei servizi
Nella tabella di mappatura dei servizi, specifica le destinazioni RFC per l'API IAM e altre API che prevedi di utilizzare con l'SDK ABAP per Google Cloud.
Per specificare le destinazioni RFC, segui questi passaggi:
Nella GUI di SAP, esegui il codice della transazione
/GOOG/SDK_IMG
.In alternativa, esegui il codice transazione
SPRO
, quindi fai clic su IMG riferimento SAP.Fai clic su SDK ABAP per Google Cloud > Impostazioni di base > Configura mappatura servizi.
Fai clic su Nuove voci.
Specifica le destinazioni RFC per l'API IAM e altre API. Ad esempio:
Nome Nome servizio Destinazione RFC Nome chiave Google Cloud iamcredentials:v1
ZGOOG_IAMCREDENTIALS
Nome chiave Google Cloud googleapis.com/oauth2
ZGOOG_OAUTH2_TOKEN
Nome chiave Google Cloud pubsub.googleapis.com
ZGOOG_PUBSUB_V1
Salva la nuova voce.
Convalida configurazione di autenticazione
Per convalidare la configurazione dell'autenticazione, segui questi passaggi:
Nella GUI di SAP, esegui il codice della transazione
/GOOG/SDK_IMG
.In alternativa, esegui il codice transazione
SPRO
, quindi fai clic su IMG riferimento SAP.Fai clic su SDK ABAP per Google Cloud > Utilità > Convalida configurazione autenticazione.
Inserisci il nome della chiave client.
Fai clic su Esegui per verificare se il flusso complessivo è configurato correttamente.
Un segno di spunta verde nella colonna Stato indica che tutte le configurazioni passaggi sono stati completati correttamente.
Assistenza
Se hai bisogno di aiuto per risolvere i problemi con l'SDK ABAP per Google Cloud, procedi le seguenti:
Consulta la guida alla risoluzione dei problemi relativi all'SDK ABAP per Google Cloud.
Poni le tue domande e discuti dell'SDK ABAP per Google Cloud con la community attivo Forum di Cloud.
Raccogli tutte le informazioni di diagnostica disponibili. e contatta l'assistenza clienti Google Cloud. Per informazioni su come contattare Per l'assistenza clienti, vedi Ottenere assistenza per SAP su Google Cloud.