Mengautentikasi menggunakan token melalui Workload Identity Federation

Dokumen ini menjelaskan cara melakukan autentikasi ke Google Cloud menggunakan token melalui Workload Identity Federation. Dengan Workload Identity Federation, Anda dapat memberikan akses beban kerja SAP lokal atau multi-cloud ke resource Google Cloudtanpa menggunakan kunci akun layanan.

Workload Identity Federation mengikuti spesifikasi pertukaran token OAuth 2.0. Anda memberikan kredensial dari IdP ke Layanan Token Keamanan, yang memverifikasi identitas pada kredensial, lalu menampilkan token akses gabungan sebagai gantinya. Anda dapat menggunakan token akses gabungan ini secara langsung dengan layanan yang didukung atau menggunakannya untuk meniru identitas akun layanan dan mendapatkan token akses berumur pendek. Dengan token akses yang berlaku singkat, Anda dapat memanggil Google Cloud API apa pun yang dapat diakses oleh akun layanan.

Anda dapat menggunakan Workload Identity Federation dengan server metadata atau penyedia identitas (IdP) eksternal.

Workload Identity Federation dengan metadata VM

Jika sistem SAP Anda dihosting di Google Cloud tetapi dikelola oleh SAP, Anda dapat menggunakan Workload Identity Federation untuk mengakses resource di projectGoogle Cloud lain dengan aman dari sistem SAP Anda. Workload Identity Federation memungkinkan sistem SAP Anda melakukan autentikasi ke project Google Cloud lain menggunakan metadata VM. Dengan demikian, Anda tidak perlu mengelola kunci akun layanan, sehingga meningkatkan keamanan dan menyederhanakan autentikasi.

Langkah-langkah konfigurasi tingkat tinggi adalah sebagai berikut:

1. Di Google Cloud, konfigurasi Workload Identity Federation.
2. Di Google Cloud, buat akun layanan.
3. Di Google Cloud, berikan akses akun layanan ke kumpulan Workload Identity Federation.
4. Di ABAP SDK untuk Google Cloud, konfigurasi kunci klien.

Mengonfigurasi Workload Identity Federation

Untuk mendapatkan izin yang diperlukan guna mengonfigurasi Workload Identity Federation, minta administrator untuk memberi Anda peran IAM berikut pada project:

• Workload Identity Pool Admin (roles/iam.workloadIdentityPoolAdmin)
• Service Account Admin (roles/iam.serviceAccountAdmin)

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses.

Untuk mengonfigurasi Workload Identity Federation, lakukan langkah-langkah berikut:

1. Di konsol Google Cloud, buka halaman Penyedia dan workload pool baru.

   Buka Penyedia workload dan workload pool baru

2. Di bagian Buat identity pool, masukkan nilai untuk kolom berikut:

   • Nama: nama untuk pool. Nama ini juga digunakan sebagai ID pool. Anda tidak dapat mengubah ID pool nanti.
   • Deskripsi: teks yang menjelaskan tujuan pool.

3. Klik Lanjutkan.

4. Di bagian Add a provider to pool, tambahkan server metadata sebagai penyedia:

   1. Di kolom Pilih penyedia, pilih OpenID Connect (OIDC).

   2. Masukkan detail penyedia berikut:

      • Nama penyedia: masukkan nama untuk penyedia.
      • Issuer(URL): masukkan URL token server metadata, https://accounts.google.com.
      • Audiens: pilih Audiens yang diizinkan dan masukkan nomor project Google Cloud dari project Google Cloud yang perlu Anda akses. Untuk mengetahui informasi tentang cara mendapatkan nomor project, lihat Mengumpulkan detail instance server metadata Google.

5. Klik Lanjutkan.

6. Di bagian Konfigurasi atribut penyedia, lakukan hal berikut:

   • Di kolom Google 1, pastikan nilainya adalah google.subject.
   • Di kolom OIDC 1, masukkan assertion.sub.

7. Klik Save.

8. Perhatikan hal berikut:

   • ID Kumpulan
   • ID Penyedia

   Anda memerlukan ID ini saat mengonfigurasi kunci klien.

Mengumpulkan detail instance server metadata Google

Untuk mendapatkan detail instance server metadata Google yang Anda perlukan untuk mengonfigurasi Workload Identity Federation, lakukan langkah-langkah berikut:

1. Di SAP GUI, jalankan kode transaksi /GOOG/SDK_IMG.

   Atau, jalankan kode transaksi SPRO, lalu klik IMG Referensi SAP.

2. Klik ABAP SDK for Google Cloud > Utilities > Get specific metadata values for Google Metadata Server Instance.
3. Pilih opsi yang sesuai:
   • ID Project Numerik
   • Email Akun Layanan Default
4. Klik Execute untuk melihat detailnya.
5. Catat detailnya. Anda memerlukannya saat mengonfigurasi Workload Identity Federation di konsol Google Cloud.

Membuat akun layanan

Di konsol Google Cloud, buat akun layanan IAM. Akun layanan ini harus merupakan akun utama dalam project Google Cloud yang berisi APIGoogle Cloud yang akan Anda gunakan dengan menggunakan SDK.

1. Di konsol Google Cloud, pilih project tempat Anda ingin membuat akun layanan.

   • Jika Anda membuat akun layanan di project yang sama yang berisi API Google Cloud , akun layanan akan ditambahkan sebagai akun utama ke project secara otomatis.

   • Jika membuat akun layanan dalam project selain project tempatGoogle Cloud API diaktifkan, Anda perlu menambahkan akun layanan ke project tersebut dengan langkah tambahan. Untuk mengetahui informasi selengkapnya, lihat Menambahkan akun layanan ke project Google Cloud.

2. Buat akun layanan untuk autentikasi dan otorisasi agar dapat mengakses Google Cloud API.

   Buka halaman Service accounts

   Untuk mengetahui informasi tentang cara membuat akun layanan, lihat Membuat akun layanan.

3. Di konsol Google Cloud, berikan peran IAM yang diperlukan kepada akun layanan untuk mengakses fungsi API. Untuk memahami persyaratan peran untuk Google Cloud API, lihat dokumentasi API individual dan ikuti prinsip hak istimewa terendah. Untuk mengetahui informasi selengkapnya tentang peran bawaan khusus API, lihat Referensi peran dasar dan bawaan IAM.

4. Jika Anda membuat akun layanan dalam project selain project yang berisi Google Cloud API yang akan digunakan dengan menggunakan SDK, catat nama akun layanan tersebut. Anda menentukan nama tersebut saat menambahkan akun layanan ke project tersebut.

Menambahkan akun layanan ke project Google Cloud

Jika Anda membuat akun layanan untuk ABAP SDK untuk Google Cloud dalam project selain project yang berisi Google Cloud API yang ingin Anda gunakan dengan SDK, Anda perlu menambahkan akun layanan tersebut ke project Google Cloud yang berisi Google Cloud API.

Jika membuat akun layanan dalam project yang sama yang berisiGoogle Cloud API, Anda dapat melewati langkah ini.

Untuk menambahkan akun layanan yang ada ke project Google Cloud yang berisi API Google Cloud , lakukan langkah-langkah berikut:

1. Di konsol Google Cloud, buka halaman Izin IAM.

   Buka halaman IAM permissions

2. Pastikan nama project yang berisi APIGoogle Cloud target ditampilkan di dekat bagian atas halaman. Contoh:

   Izin untuk project 'PROJECT_NAME'

   Jika tidak, ganti project.

3. Di halaman Permissions IAM, klik person_addGrant access.

4. Pada dialog Berikan akses ke 'PROJECT_NAME' yang muncul, lakukan langkah-langkah berikut:

   1. Di kolom New principals, tentukan nama akun layanan.

   2. Di kolom Pilih peran, tentukan peran yang relevan. Misalnya, untuk Pub/Sub, jika ingin mengubah topik dan langganan, serta akses untuk memublikasikan dan menggunakan pesan, Anda dapat menentukan peran Pub/Sub Editor (roles/pubsub.editor).

      Untuk mengetahui detail selengkapnya tentang peran bawaan khusus API, lihat Referensi peran dasar dan bawaan IAM.

   3. Tambahkan peran tambahan sesuai kebutuhan untuk penggunaan API Anda. Sebaiknya terapkan prinsip hak istimewa terendah.

   4. Klik Save. Akun layanan akan muncul dalam daftar akun utama project di halaman IAM.

Akun layanan sekarang dapat digunakan untuk mengakses Google Cloud API dalam project ini.

Memberi akun layanan akses ke kumpulan Federasi Workload Identity

Untuk meniru akun layanan dari beban kerja gabungan, berikan Workload Identity User (roles/iam.workloadIdentityUser) di akun layanan. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Untuk memberikan akses akun layanan ke kumpulan Workload Identity Federation, lakukan hal berikut:

1. Di konsol Google Cloud, buka halaman Workload Identity Pool.

   Buka Workload Identity Pool

2. Pilih workload identity pool yang Anda buat di bagian konfigurasi Workload Identity Federation.

3. Untuk memberikan akses ke workload identity pool, klik add_box Berikan akses.

4. Dalam daftar Service account, pilih akun layanan yang memiliki akses ke API Google Cloud . Jika Anda menggunakan beberapa akun layanan, tambahkan semuanya di sini.

5. Di kolom Nama atribut, pilih Subjek.

6. Di kolom Attribute value, masukkan alamat email akun layanan yang diambil dari server metadata, dalam tanda kutip ganda. Contoh, "svc-acct-compute@example-project-123456.".

   Untuk mengetahui informasi tentang cara mengambil alamat email akun layanan dari server metadata, lihat Mengumpulkan detail instance server metadata Google.

7. Pada dialog Configure your application yang muncul, klik Dismiss.

Mengonfigurasi kunci klien

1. Di SAP GUI, jalankan kode transaksi /GOOG/SDK_IMG.

   Atau, jalankan kode transaksi SPRO, lalu klik IMG Referensi SAP.

2. Klik ABAP SDK for Google Cloud > Basic Settings > Configure Client Key.
3. Klik New Entries.

4. Masukkan nilai untuk kolom berikut:

   Kolom	Deskripsi
   Nama Kunci Google Cloud	Tentukan nama konfigurasi kunci klien.
   Nama Akun Layanan Google Cloud	Tentukan nama akun layanan, dalam format alamat email, yang dibuat untuk mengakses Google Cloud API pada langkah Membuat akun layanan. Contoh: sap-example-svc-acct@example-project-123456..
   Cakupan Google Cloud	Tentukan cakupan akses API, https://www.googleapis.com/auth/cloud-platform.
   ID Project Google Cloud	Tentukan ID project Google Cloud tempat Anda membuat workload identity pool.
   Nama perintah	Kosongkan kolom ini.
   Class Otorisasi	Tentukan class autentikasi yang sesuai: /GOOG/CL_AUTH_WIF_META_ACCESS: Menghasilkan token OAuth yang ditandatangani Google. /GOOG/CL_AUTH_WIF_META_IDTOKEN: Menghasilkan token ID yang ditandatangani Google.
   Caching Token	Flag yang menentukan apakah token akses yang diambil dari Google Cloud disimpan ke cache atau tidak. Sebaiknya aktifkan penyimpanan token ke dalam cache setelah Anda selesai mengonfigurasi dan menguji koneksi Anda ke Google Cloud.
   Detik Pembaruan Token	Kosongkan kolom ini.
   Parameter Otorisasi 1	Tentukan ID workload identity pool.
   Authorization Parameter 2	Tentukan ID penyedia workload identity.

5. Simpan entri.

Workload Identity Federation dengan IdP eksternal

Anda dapat menggunakan Workload Identity Federation dengan IdP eksternal seperti Amazon Web Services (AWS) atau dengan penyedia identitas (IdP) apa pun yang mendukung OpenID Connect (OIDC), seperti Microsoft Azure atau SAML 2.0.

Untuk autentikasi menggunakan token melalui Workload Identity Federation, langkah-langkah konfigurasi tingkat tinggi adalah sebagai berikut:

1. Siapkan IdP eksternal Anda.
2. Di Google Cloud, konfigurasi Workload Identity Federation.
3. Di Google Cloud, buat akun layanan.
4. Di Google Cloud, izinkan beban kerja eksternal untuk meniru identitas akun layanan.
5. Di ABAP SDK untuk Google Cloud, implementasikan kode ABAP untuk mengambil token keamanan dari IdP Anda.
6. Di ABAP SDK untuk Google Cloud, konfigurasi kunci klien.

Tidak semua Google Cloud produk mendukung Workload Identity Federation. Sebelum menyiapkan autentikasi menggunakan Workload Identity Federation, tinjau daftar produk dan batasan yang didukung. Untuk mengetahui informasi selengkapnya, lihat Workforce identity federation: produk dan batasan yang didukung.

Menyiapkan IdP eksternal Anda

Anda perlu menyiapkan IdP agar beban kerja SAP dapat memperoleh kredensial yang dapat ditukar dengan token keamanan Google OAuth 2.0.

Untuk menyiapkan IdP eksternal, lakukan langkah-langkah berikut bergantung pada IdP Anda:

• Jika Anda menggunakan AWS atau Azure sebagai IdP, ikuti petunjuk untuk menyiapkan IdP eksternal.
• Jika Anda menggunakan IdP lain, ikuti petunjuk untuk menyiapkan IdP eksternal.

Mengonfigurasi Workload Identity Federation

Di Google Cloud, konfigurasikan workload identity pool dan penyedia.

Anda mengonfigurasi kumpulan identitas, yang merupakan entity yang memungkinkan Anda mengelola identitas eksternal. Anda juga mengonfigurasi penyedia workload identity pool, yang merupakan entitas yang menjelaskan hubungan antara Google Cloud dan IdP Anda.

Untuk mengonfigurasi Workload Identity Federation, lakukan langkah-langkah berikut, bergantung pada IdP eksternal Anda:

• Jika Anda menggunakan AWS atau Azure sebagai IdP, ikuti petunjuk untuk membuat kumpulan identitas dan penyedia workload.
• Jika Anda menggunakan IdP lain, ikuti petunjuk untuk membuat workload identity pool dan penyedia.

Perhatikan hal berikut:

• Nomor project: nomor project project Google Cloud tempat Anda membuat workload identity pool.
• ID Pool: ID unik yang mengidentifikasi workload identity pool.
• ID Penyedia: ID yang mengidentifikasi penyedia workload identity pool.

Anda memerlukannya untuk konfigurasi kunci klien ABAP SDK.

Membuat akun layanan

Di konsol Google Cloud, buat akun layanan IAM khusus untuk mengakses Google Cloud API. Akun layanan ini harus merupakan akun utama dalam project Google Cloud yang berisi APIGoogle Cloud yang akan Anda gunakan dengan menggunakan SDK.

1. Di konsol Google Cloud, aktifkan IAM Service Account Credentials API, Security Token Service API, dan API yang didukung lainnya yang ingin Anda akses menggunakan SDK.

   Buka koleksi API

   Untuk mengetahui informasi tentang cara mengaktifkan Google Cloud API, lihat Mengaktifkan API.

2. Buat akun layanan yang merepresentasikan workload.

3. Berikan peran IAM yang diperlukan kepada akun layanan untuk mengakses fungsi API. Untuk memahami persyaratan peran untuk Google Cloud API, lihat dokumentasi API individual dan ikuti prinsip hak istimewa terendah. Untuk mengetahui informasi selengkapnya tentang peran bawaan khusus API, lihat Menemukan peran IAM untuk Google Cloud API.

Mengizinkan workload eksternal untuk meniru identitas akun layanan

Agar workload eksternal dapat meniru identitas akun layanan, lakukan langkah-langkah berikut, bergantung pada IdP eksternal Anda:

• Jika Anda menggunakan AWS atau Azure sebagai IdP, ikuti petunjuk untuk mengizinkan beban kerja eksternal meniru identitas akun layanan.
• Jika Anda menggunakan IdP lain, ikuti petunjuk untuk mengizinkan workload eksternal meniru identitas akun layanan.

Menerapkan kode ABAP untuk mengambil token keamanan dari IdP Anda

ABAP SDK untuk Google Cloud menyediakan class abstrak /GOOG/CL_AUTH_WIF_BASE, yang memiliki logika untuk mengambil token keamanan OAuth 2.0 dari Layanan Token Keamanan dan token akses OAuth 2.0 dari IAM Service Account Credentials API. Sebagai developer, Anda perlu membuat class turunan di namespace yang mewarisi dari class abstrak /GOOG/CL_AUTH_WIF_BASE.

Untuk memanggil fungsi Cloud Run dari ABAP SDK untuk Google Cloud menggunakan Workload Identity Federation, SDK menyediakan class abstrak lain /GOOG/CL_AUTH_WIF_ID_TOKEN. Jika menyiapkan autentikasi menggunakan Workload Identity Federation, Anda perlu membuat satu class turunan lagi di namespace yang diwarisi dari class abstrak /GOOG/CL_AUTH_WIF_ID_TOKEN. Anda menentukan class turunan ini di kolom Authorization Class saat mengonfigurasi kunci klien untuk memanggil fungsi Cloud Run.

Pastikan untuk menerapkan metode GET_EXT_IDP_TOKEN di class turunan dan menulis logika untuk mendapatkan token keamanan dari IdP Anda. Isi kolom berikut:

• CV_TOKEN: token yang diambil dari IdP Anda dalam format string.
• CV_TOKEN_TYPE: jenis token keamanan yang diambil dari IdP Anda. Jenis token yang didukung adalah:
  • urn:ietf:params:oauth:token-type:jwt
  • urn:ietf:params:oauth:token-type:id_token
  • urn:ietf:params:aws:token-type:aws4_request
  • urn:ietf:params:oauth:token-type:access_token
  • urn:ietf:params:oauth:token-type:saml2

Nilai yang diisi di CV_TOKEN dan CV_TOKEN_TYPE kemudian digunakan oleh metode class abstrak /GOOG/CL_AUTH_WIF_BASE untuk menukar dan mengambil token OAuth 2.0 akhir, yang digunakan dalam panggilan API.

Contoh berikut menunjukkan contoh implementasi metode GET_EXT_IDP_TOKEN untuk penyedia Cloud lainnya seperti AWS dan Azure.

class ZCL_AUTH_WIF_AWS definition
  public
  inheriting from /GOOG/CL_AUTH_WIF_BASE
  final
  create public .

public section.

  types:
    BEGIN OF t_header_field,
      key type string,
      value TYPE string,
    END OF t_header_field .
  types:
    tt_header_field type STANDARD TABLE OF t_header_field WITH DEFAULT KEY .
  types:
    BEGIN OF t_token_request,
     url type string,
     method type string,
     headers type tt_header_field,
   END OF t_token_request .
protected section.

  methods GET_EXT_IDP_TOKEN
    redefinition .
private section.
ENDCLASS.



CLASS ZCL_AUTH_WIF_AWS IMPLEMENTATION.


METHOD get_ext_idp_token.
**********************************************************************
*  Copyright 2024 Google LLC                                         *
*                                                                    *
*  Licensed under the Apache License, Version 2.0 (the "License");   *
*  you may not use this file except in compliance with the License.  *
*  You may obtain a copy of the License at                           *
*      https://www.apache.org/licenses/LICENSE-2.0                   *
*  Unless required by applicable law or agreed to in writing,        *
*  software distributed under the License is distributed on an       *
*  "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND,      *
*  either express or implied.                                        *
*  See the License for the specific language governing permissions   *
*  and limitations under the License.                                *
**********************************************************************

  DATA: ls_key       TYPE /goog/client_key.

  /goog/cl_utility=>get_client_key( EXPORTING iv_keyname    = iv_keyname
                                        IMPORTING es_client_key = ls_key ).


  DATA: lv_awsdate TYPE string.

  DATA: lv_date         TYPE dats,
        lv_time         TYPE tims,
        lv_timestamp    TYPE timestampl,
        lv_tz_utc       TYPE timezone VALUE 'UTC',
        lv_awsts        TYPE string,
        lv_timechar(32) TYPE c.

  GET TIME STAMP FIELD lv_timestamp.

  CONVERT TIME STAMP lv_timestamp TIME ZONE lv_tz_utc INTO DATE lv_date TIME lv_time.
  MOVE lv_timestamp TO lv_timechar.
  CONDENSE lv_timechar.

  lv_awsdate = lv_date(4) &&
               lv_date+4(2) &&
               lv_date+6(2) &&
               'T' &&
               lv_time(2) &&
               lv_time+2(2) &&
               lv_time+4(2) &&
               'Z'.

  TRANSLATE lv_awsdate TO UPPER CASE.

  DATA: lv_lf TYPE string.
  DATA: lv_secret_key TYPE string.
  DATA: lv_accesskey TYPE string.
  DATA: lv_datepart TYPE string.
  DATA: lv_service TYPE string.
  DATA: lv_method TYPE string.

  lv_lf = cl_abap_char_utilities=>newline.
  lv_accesskey = '<Populate AWS Access Key>'.
  lv_secret_key = '<Populate AWS Secret Access Key>'.
  lv_datepart = lv_awsdate(8).
  lv_service = 'sts'.
  lv_method = 'GET'.


  DATA: lv_canonical_query_params TYPE string.
  DATA: lv_host TYPE string.
  DATA: lv_region TYPE string.
  DATA: lv_canonical_resource_path TYPE string.

  lv_canonical_query_params = 'Action=GetCallerIdentity&Version=2011-06-15'.
  lv_host = 'sts.amazonaws.com'.
  lv_region = '<Populate your AWS Region>'.   "Example: 'us-east-1'
  lv_canonical_resource_path = '/'.

  DATA: lv_canonical_header_names TYPE string.
  DATA: lv_canonical_headers TYPE string.

  lv_canonical_header_names = 'host;x-amz-date'.
  lv_canonical_headers = 'host:' && lv_host && lv_lf && 'x-amz-date:' && lv_awsdate && lv_lf.

  DATA: lv_canonical_request TYPE string.

  CONCATENATE lv_method lv_lf
              lv_canonical_resource_path lv_lf
              lv_canonical_query_params lv_lf
              lv_canonical_headers lv_lf
              lv_canonical_header_names
              INTO lv_canonical_request.

  DATA: lv_canonical_request_hash TYPE string.

  TRY.
      cl_abap_message_digest=>calculate_hash_for_char(
       EXPORTING
         if_algorithm = 'SHA-256'
         if_data = lv_canonical_request
       IMPORTING
         ef_hashstring = lv_canonical_request_hash ).
    CATCH cx_abap_message_digest.
      "Handle error
      RETURN.
  ENDTRY.

  TRANSLATE lv_canonical_request_hash TO LOWER CASE.

  DATA: lv_algorithm TYPE string.

  lv_algorithm = 'AWS4-HMAC-SHA256'.

  DATA: lv_credential_scope TYPE string.

  CONCATENATE lv_datepart '/' lv_region '/' lv_service '/' 'aws4_request' INTO lv_credential_scope.

  DATA: lv_string_to_sign TYPE string.

  CONCATENATE lv_algorithm lv_lf
              lv_awsdate lv_lf
              lv_credential_scope lv_lf
              lv_canonical_request_hash
              INTO lv_string_to_sign.

  DATA: lv_awskey TYPE string.

  CONCATENATE 'AWS4' lv_secret_key INTO lv_awskey.

  DATA: lv_ksecret TYPE xstring.

  TRY.
      lv_ksecret = cl_abap_hmac=>string_to_xstring( lv_awskey ).
    CATCH cx_abap_message_digest .
      "Handle error
      RETURN.
  ENDTRY.

  DATA: lv_kdate  TYPE xstring.
  TRY.
      cl_abap_hmac=>calculate_hmac_for_char(
        EXPORTING
           if_algorithm = 'SHA256'
           if_key = lv_ksecret
           if_data = lv_datepart
        IMPORTING
           ef_hmacxstring = lv_kdate ).
    CATCH cx_abap_message_digest. "
      "Handle error
      RETURN.
  ENDTRY.

  DATA: lv_kregion TYPE xstring.
  TRY.
      cl_abap_hmac=>calculate_hmac_for_char(
        EXPORTING
           if_algorithm = 'SHA256'
           if_key = lv_kdate
           if_data = lv_region
        IMPORTING
             ef_hmacxstring = lv_kregion ).
    CATCH cx_abap_message_digest.
      "Handle error
      RETURN.
  ENDTRY.

  DATA: lv_kservice TYPE xstring.
  TRY.
      cl_abap_hmac=>calculate_hmac_for_char(
         EXPORTING
           if_algorithm = 'SHA256'
           if_key = lv_kregion
           if_data = lv_service
           IMPORTING
             ef_hmacxstring = lv_kservice ).
    CATCH cx_abap_message_digest.
      "Handle error
      RETURN.
  ENDTRY.

  DATA: lv_ksigningkey TYPE xstring.
  TRY.
      cl_abap_hmac=>calculate_hmac_for_char(
         EXPORTING
           if_algorithm = 'SHA256'
           if_key = lv_kservice
           if_data = 'aws4_request'
         IMPORTING
             ef_hmacxstring = lv_ksigningkey ).
    CATCH cx_abap_message_digest.
      "Handle error
      RETURN.
  ENDTRY.

  DATA: lv_stringtosign TYPE string.

  lv_stringtosign = 'AWS4-HMAC-SHA256' && lv_lf &&
                   lv_awsdate && lv_lf &&
                   lv_datepart && '/' &&
                   lv_region && '/' &&
                   lv_service && '/aws4_request' && lv_lf &&
                   lv_canonical_request_hash.

  DATA: lv_ssignature TYPE string.

  TRY.
      cl_abap_hmac=>calculate_hmac_for_char(
         EXPORTING
           if_algorithm = 'SHA256'
           if_key = lv_ksigningkey
           if_data = lv_stringtosign
         IMPORTING
           ef_hmacstring = lv_ssignature ).
    CATCH cx_abap_message_digest.
      "Handle error
      RETURN.
  ENDTRY.

  TRANSLATE lv_ssignature TO LOWER CASE.

  DATA: lv_authorization_header TYPE string.

  lv_authorization_header = 'AWS4-HMAC-SHA256 Credential=' &&
                            lv_accesskey && '/' &&
                            lv_credential_scope &&
                            ', SignedHeaders=' &&
                            lv_canonical_header_names &&
                            ', Signature=' &&
                            lv_ssignature.

  DATA: ls_token_request TYPE t_token_request.

  ls_token_request-url = 'https://sts.amazonaws.com?Action=GetCallerIdentity&Version=2011-06-15'.
  ls_token_request-method = 'POST'.

  DATA: ls_header_field TYPE t_header_field.
  ls_header_field-key = 'Authorization'.
  ls_header_field-value = lv_authorization_header.
  APPEND ls_header_field TO ls_token_request-headers.

  CLEAR: ls_header_field.
  ls_header_field-key = 'host'.
  ls_header_field-value = 'sts.amazonaws.com'.
  APPEND ls_header_field TO ls_token_request-headers.

  CLEAR: ls_header_field.
  ls_header_field-key = 'x-amz-date'.
  ls_header_field-value = lv_awsdate.
  APPEND ls_header_field TO ls_token_request-headers.

  CLEAR: ls_header_field.
  ls_header_field-key = 'x-goog-cloud-target-resource'.
  ls_header_field-value = '//iam.googleapis.com/projects/' &&
                               ls_key-project_id &&
                               '/locations/global/workloadIdentityPools/' &&
                               ls_key-auth_param1 &&
                               '/providers/' &&
                               ls_key-auth_param2.
  APPEND ls_header_field TO ls_token_request-headers.

  cv_token = /ui2/cl_json=>serialize(  ls_token_request ).
  cv_token_type = 'urn:ietf:params:aws:token-type:aws4_request'.

ENDMETHOD.
ENDCLASS.

class ZCL_AUTH_WIF_AZURE definition
  public
  inheriting from /GOOG/CL_AUTH_WIF_BASE
  final
  create public .

public section.
protected section.

  methods GET_EXT_IDP_TOKEN
    redefinition .
private section.
ENDCLASS.



CLASS ZCL_AUTH_WIF_AZURE IMPLEMENTATION.


  METHOD GET_EXT_IDP_TOKEN.
**********************************************************************
*  Copyright 2024 Google LLC                                         *
*                                                                    *
*  Licensed under the Apache License, Version 2.0 (the "License");   *
*  you may not use this file except in compliance with the License.  *
*  You may obtain a copy of the License at                           *
*      https://www.apache.org/licenses/LICENSE-2.0                   *
*  Unless required by applicable law or agreed to in writing,        *
*  software distributed under the License is distributed on an       *
*  "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND,      *
*  either express or implied.                                        *
*  See the License for the specific language governing permissions   *
*  and limitations under the License.                                *
**********************************************************************

    TYPES:
      BEGIN OF t_azure_resp,
        access_token TYPE string,
      END OF t_azure_resp.

    DATA: lo_client TYPE REF TO if_http_client.

    DATA: lv_url type string.
    lv_url = 'http://169.254.169.254/metadata/identity/oauth2/token?resource=<APP_ID_URI>&api-version=2018-02-01'.
    "Replace <APP_ID_URI> with the value of Application ID URI of the application that you've configured for workload identity federation.

    cl_http_client=>create_by_url(
       EXPORTING
         url                        = lv_url
       IMPORTING
         client                     = lo_client
       EXCEPTIONS
         argument_not_found         = 1
         plugin_not_active          = 2
         internal_error             = 3
         pse_not_found              = 4
         pse_not_distrib            = 5
         pse_errors                 = 6
         oa2c_set_token_error       = 7
         oa2c_missing_authorization = 8
         oa2c_invalid_config        = 9
         oa2c_invalid_parameters    = 10
         oa2c_invalid_scope         = 11
         oa2c_invalid_grant         = 12
         OTHERS                     = 13 ).

    IF sy-subrc <> 0.
      RETURN.
    ENDIF.

    lo_client->request->set_method( 'GET' ).
    lo_client->request->set_header_field( name = 'Metadata' value = 'true' ).

    lo_client->send(
      EXCEPTIONS
        http_communication_failure = 1
        http_invalid_state         = 2
        http_processing_failed     = 3
        http_invalid_timeout       = 4
        OTHERS                     = 5 ).

    lo_client->propertytype_logon_popup = lo_client->co_disabled.

    lo_client->receive(
      EXCEPTIONS
      http_communication_failure = 1
      http_invalid_state         = 2
      http_processing_failed     = 3 ).

    DATA: lv_json TYPE string.

    lv_json = lo_client->response->get_cdata( ).

    DATA: ls_azure_resp TYPE t_azure_resp.

    /goog/cl_json=>deserialize(
      EXPORTING
        json             = lv_json
      CHANGING
        data             = ls_azure_resp ).
    cv_token = ls_azure_resp-access_token.
    cv_token_type = 'urn:ietf:params:oauth:token-type:jwt'.

  ENDMETHOD.
ENDCLASS.

Mengonfigurasi kunci klien

1. Di SAP GUI, jalankan kode transaksi /GOOG/SDK_IMG.

   Atau, jalankan kode transaksi SPRO, lalu klik IMG Referensi SAP.

2. Klik ABAP SDK for Google Cloud > Basic Settings > Configure Client Key.
3. Klik New Entries.

4. Masukkan nilai untuk kolom berikut:

   Kolom	Deskripsi
   Nama Kunci Google Cloud	Tentukan nama konfigurasi kunci klien.
   Nama Akun Layanan Google Cloud	Tentukan nama akun layanan, dalam format alamat email, yang dibuat untuk mengakses Google Cloud API pada langkah Membuat akun layanan. Contoh: sap-example-svc-acct@example-project-123456..
   Cakupan Google Cloud	Tentukan cakupan akses API, https://www.googleapis.com/auth/cloud-platform.
   ID Project Google Cloud	Tentukan ID project Google Cloud tempat Anda membuat workload identity pool.
   Nama perintah	Kosongkan kolom ini.
   Class Otorisasi	Tentukan class turunan, yang berisi implementasi class /GOOG/CL_AUTH_WIF_BASE. Untuk informasi selengkapnya, lihat Menerapkan kode ABAP untuk mengambil token keamanan dari IdP Anda.
   Caching Token	Flag yang menentukan apakah token akses yang diambil dari Google Cloud disimpan ke cache atau tidak. Sebaiknya aktifkan penyimpanan token ke dalam cache setelah Anda selesai mengonfigurasi dan menguji koneksi Anda ke Google Cloud.
   Detik Pembaruan Token	Kosongkan kolom ini.
   Parameter Otorisasi 1	Tentukan ID workload identity pool.
   Authorization Parameter 2	Tentukan ID penyedia workload identity.

5. Simpan entri.

Mendapatkan dukungan

Jika Anda memerlukan bantuan untuk menyelesaikan masalah terkait ABAP SDK untuk Google Cloud, lakukan langkah-langkah berikut:

• Lihat panduan pemecahan masalah ABAP SDK untuk Google Cloud.

• Ajukan pertanyaan dan diskusikan ABAP SDK untuk Google Cloud dengan komunitas di Cloud Forum.

• Kumpulkan semua informasi diagnostik yang tersedia dan hubungi Cloud Customer Care. Untuk mengetahui informasi tentang cara menghubungi Layanan Pelanggan, lihat Mendapatkan dukungan untuk SAP di Google Cloud.