Mengautentikasi menggunakan token akses

On-premises or any cloud edition v1.11keyboard_arrow_down

• Edisi SAP BTP v1.1
• Edisi lokal atau cloud apa pun v1.11

Dokumen ini menunjukkan cara menyiapkan autentikasi untuk mengakses API saat sistem SAP Anda dihosting di instance VM Compute Engine. Google Cloud

Menyiapkan autentikasi

Untuk menyiapkan autentikasi, lakukan langkah-langkah berikut:

1. Di konsol Google Cloud , aktifkan IAM Service Account Credentials API untuk project Google Cloud yang memerlukan autentikasi. Selain IAM Service Account Credentials API, Anda perlu mengaktifkan API yang didukung lainnya yang ingin diakses menggunakan SDK.

   Buka koleksi API

   Untuk mengetahui informasi tentang cara mengaktifkan Google Cloud API, lihat Mengaktifkan API.

2. Di konsol Google Cloud , buat akun layanan IAM untuk instance VM host.

   Buka halaman Service accounts

   Untuk mengetahui informasi tentang cara membuat akun layanan, lihat Membuat akun layanan.

3. Berikan peran Service Account Token Creator ke akun layanan. Untuk mengetahui petunjuknya, lihat Memberikan satu peran.

4. Lampirkan akun layanan ke instance VM tempat workload SAP Anda berjalan. Tetapkan juga cakupan akses VM ke cloud-platform.

   • Jika Anda menentukan akun layanan menggunakan konsol Google Cloud , cakupan akses VM otomatis ditetapkan ke cakupan cloud-platform secara default.

   • Jika Anda menentukan akun layanan menggunakan Google Cloud CLI atau Compute Engine API, Anda harus menetapkan cakupan akses API ke Allow full access to all Cloud APIs.

     Untuk mengetahui petunjuknya, lihat Membuat VM dan melampirkan akun layanan.

     Setelah memperbarui cakupan, mulai ulang VM. Jika Anda memiliki beberapa instance VM untuk penginstalan SAP yang sama, Anda harus menyelesaikan langkah ini di semua instance VM tersebut.

5. Di konsol Google Cloud , buat akun layanan IAM khusus untuk mengakses API Google Cloud .

   Buka halaman Service accounts

   Untuk mengetahui petunjuknya, lihat Membuat akun layanan.

6. Beri akun layanan peran IAM yang diperlukan untuk mengakses fungsi API. Untuk memahami persyaratan peran untuk Google Cloud API, lihat setiap dokumentasi API dan ikuti prinsip hak istimewa terendah. Untuk mengetahui informasi selengkapnya tentang peran bawaan khusus API, lihat Menemukan peran IAM untuk API Google Cloud .

7. Jika Anda membuat akun layanan dalam project yang berbeda dengan project yang berisi API, Anda harus melakukan langkah-langkah tambahan untuk penyiapan akun layanan. Google Cloud Untuk mengetahui informasi selengkapnya, lihat Menyiapkan akun layanan di lingkungan lintas project.

8. Dalam sistem SAP, konfigurasi kunci klien:

   1. Di SAP GUI, jalankan kode transaksi /GOOG/SDK_IMG.

      Atau, jalankan kode transaksi SPRO, lalu klik IMG Referensi SAP.

   2. Klik ABAP SDK for Google Cloud > Basic Settings > Configure Client Key.

   3. Klik New Entries.

   4. Masukkan nilai untuk kolom berikut:

      Kolom	Deskripsi
      Nama Kunci Google Cloud	Tentukan nama konfigurasi kunci klien. Misalnya, TEST_PUBSUB.
      Nama Akun Layanan Google Cloud	Tentukan nama akun layanan yang telah Anda beri izin untuk mengakses Google Cloud API. Contoh, sap-example-svc-acct@example-project-123456.. Jika VM host sistem SAP Anda yang berisi SDK berada di project yang berbeda dengan project yang mengaktifkan API, tentukan akun layanan yang digunakan untuk mengakses API. Google Cloud Google Cloud Untuk mengetahui informasi selengkapnya, lihat Menyiapkan akun layanan di lingkungan lintas project.
      Cakupan Google Cloud	Tentukan cakupan akses API, https://www.googleapis.com/auth/cloud-platform.
      ID Project Google Cloud	Tentukan ID Google Cloud project yang berisi API target Anda.
      Nama perintah	Kosongkan kolom ini.
      Class Otorisasi	Tentukan class otorisasi, /GOOG/CL_AUTH_GOOGLE.
      Caching Token	Tanda yang menentukan apakah token akses yang diambil dari Google Cloud disimpan ke cache atau tidak. Sebaiknya aktifkan penyimpanan token ke dalam cache setelah Anda selesai mengonfigurasi dan menguji koneksi Anda ke Google Cloud. Untuk mengetahui informasi selengkapnya tentang penyimpanan token ke dalam cache, lihat Mengaktifkan penyimpanan token ke dalam cache.
      Detik Pembaruan Token	Lama waktu, dalam detik, sebelum masa berlaku token akses berakhir dan harus dimuat ulang. Nilai defaultnya adalah 3500.
      Authorization Parameter 1	Kosongkan kolom ini.
      Authorization Parameter 2	Kosongkan kolom ini.

   5. Simpan entri baru.

9. Dalam sistem SAP, buat tujuan RFC baru untuk API yang akan Anda gunakan dengan menggunakan ABAP SDK untuk Google Cloud.

   Untuk informasi tentang cara membuat tujuan RFC, lihat Tujuan RFC.

10. Dalam sistem SAP, konfigurasikan tabel pemetaan layanan untuk IAM API, dan API lain yang akan Anda gunakan dengan menggunakan ABAP SDK untuk Google Cloud.

    1. Di SAP GUI, jalankan kode transaksi /GOOG/SDK_IMG.

       Atau, jalankan kode transaksi SPRO, lalu klik IMG Referensi SAP.

    2. Klik ABAP SDK for Google Cloud > Basic Settings > Configure Service Mapping.

    3. Klik New Entries.

    4. Tentukan tujuan RFC untuk IAM API dan API lainnya, misalnya, Pub/Sub API v1.

       Nama	Nama Layanan	RFC Destination
       Nama Kunci Google Cloud	iamcredentials.googleapis.com	ZGOOG_IAMCREDENTIALS
       Nama Kunci Google Cloud	pubsub:v1	ZGOOG_PUBSUB_V1

    5. Simpan entri baru.

11. Dalam sistem SAP, validasi konfigurasi autentikasi. Untuk mengetahui informasi selengkapnya, lihat Memvalidasi konfigurasi autentikasi.

Menyiapkan akun layanan di lingkungan lintas project

VM host sistem SAP Anda, yang berisi SDK, dapat berada di projectGoogle Cloud yang berbeda dari yang mengaktifkan API Google Cloud . Dalam hal ini, Anda harus menyiapkan akun layanan dengan peran IAM yang diperlukan sehingga SDK dapat mengakses API dari project lain.

Tabel berikut menunjukkan contoh penyiapan akun layanan untuk akses API lintas project.

Lingkungan	VM host SAP	Google Cloud API
Google Cloud project	project-sap-host	project-google-apis
Akun layanan yang ditetapkan ke VM host SAP	sa-sap-host@project-sap-host.	T/A
Akun layanan untuk mengakses Google Cloud API	sa-google-apis@project-sap-host.	T/A
Peran IAM untuk akun layanan	Pada project project-sap-host, berikan peran sa-sap-host@project-sap-host. Service Account Token Creator untuk akun layanan.	Di project project-google-apis, tambahkan akun layanan sa-google-apis@project-sap-host. sebagai prinsip dan berikan peran yang sesuai ke akun layanan untuk terhubung ke Google Cloud API.

Untuk menyiapkan akun layanan, lakukan langkah-langkah berikut:

1. Di project Google Cloud yang berisi VM host SAP Anda, berikan peran Service Account Token Creator ke akun layanan VM host SAP. Untuk mengetahui informasi selengkapnya tentang langkah-langkahnya, lihat Memberikan satu peran.
2. Di project Google Cloud yang berisi VM host SAP Anda, buat akun layanan. Catat nama akun layanan. Anda menentukan nama ini saat menambahkan akun layanan sebagai prinsip ke project lain yang berisi Google Cloud API.

3. Di project lain yang berisi Google Cloud API, tambahkan akun layanan sebagai prinsip dan berikan peran yang sesuai untuk terhubung ke Google Cloud API.Untuk menambahkan akun layanan ke projectGoogle Cloud yang berisi Google Cloud API, lakukan langkah-langkah berikut:

   1. Di konsol Google Cloud , buka halaman Izin IAM:

      Buka halaman IAM permissions

   2. Pastikan nama project yang berisi Google Cloud API target ditampilkan di dekat bagian atas halaman. Contoh:

      Izin untuk project "PROJECT_NAME"

      Jika tidak, ganti project.

   3. Di halaman IAM, klik person_addGrant access. Dialog Beri akses ke "PROJECT_NAME" akan terbuka.

   4. Di kolom New principals, tentukan nama akun layanan.

   5. Di kolom Pilih peran, tentukan peran yang relevan. Misalnya, untuk Pub/Sub, jika ingin mengubah topik dan langganan, serta akses untuk memublikasikan dan menggunakan pesan, Anda dapat menentukan peran Pub/Sub Editor (roles/pubsub.editor).

      Untuk mengetahui informasi selengkapnya tentang peran bawaan khusus API, lihat Referensi peran dasar dan bawaan IAM.

   6. Tambahkan peran tambahan sesuai kebutuhan untuk penggunaan API Anda. Terapkan praktik terbaik yang direkomendasikan Google dengan menerapkan prinsip hak istimewa terendah.

   7. Klik Simpan. Akun layanan akan muncul dalam daftar akun utama project di halaman IAM.

Memvalidasi konfigurasi autentikasi

Untuk memvalidasi kesiapan konfigurasi autentikasi, lakukan hal berikut:

1. Di SAP GUI, jalankan kode transaksi /GOOG/SDK_IMG.

   Atau, jalankan kode transaksi SPRO, lalu klik IMG Referensi SAP.

2. Klik ABAP SDK for Google Cloud > Utilities > Validate Authentication Configuration.

3. Masukkan nama kunci klien.

4. Klik Jalankan.

   Centang hijau di kolom Result menunjukkan bahwa semua langkah konfigurasi berhasil diselesaikan.

Mendapatkan dukungan

Jika Anda memerlukan bantuan untuk menyelesaikan masalah terkait ABAP SDK untuk Google Cloud, lakukan hal berikut:

• Lihat panduan pemecahan masalah ABAP SDK untuk Google Cloud.

• Ajukan pertanyaan dan diskusikan ABAP SDK untuk Google Cloud dengan komunitas di Forum Cloud.

• Kumpulkan semua informasi diagnostik yang tersedia dan hubungi Cloud Customer Care. Untuk mengetahui informasi tentang cara menghubungi Layanan Pelanggan, lihat Mendapatkan dukungan untuk SAP di Google Cloud.