Questo documento mostra come configurare l'autenticazione per accedere alle API quando il sistema SAP viene eseguito su un host on-premise, su un altro provider cloud, in un altro ambiente al di fuori di Google Cloudo gestito da SAP tramite il programma SAP RISE. Google CloudPer l'autenticazione a Google Cloud, utilizzi Google Cloud token JWT (JSON Web Token) firmati per ottenere token di accesso da Google Cloud.
I passaggi di configurazione a livello generale sono i seguenti:
- Crea un account di servizio per il recupero di token basato su JWT.
- Configura le impostazioni di sicurezza per Google Cloud sull'host SAP.
- Abilita le API Google Cloud .
- Crea un altro account di servizio per l'autorizzazione di accesso alle API Google Cloud .
- Crea configurazioni SAP.
- Convalida la configurazione dell'autenticazione.
Prerequisiti
Affinché il server delle applicazioni SAP si connetta alle Google Cloud API tramite HTTPS, assicurati che:
Verifica che la porta HTTPS sia attiva nella transazione
SMICM.Sull'host SAP, configura regole firewall o proxy per consentire il traffico in uscita dalla porta HTTPS alle API Google Cloud richieste. Nello specifico, il tuo sistema SAP deve essere in grado di accedere ai seguenti endpoint API:
https://iamcredentials.googleapis.com- Endpoint API per le API che vuoi utilizzare con l'SDK.
Crea un account di servizio per il recupero dei token basato su JWT
Per l'autenticazione basata su JWT Google Cloud, ABAP SDK for Google Cloud richiede un account di servizio IAM.
Crea un account di servizio
Crea un account di servizio e concedi il ruolo IAM Service Account Token Creator al account di servizio.
Per creare un account di servizio:
Nella Google Cloud console, crea un account di servizio IAM per il recupero dei token basato su JWT.
Per informazioni su come creare un account di servizio, vedi Creare un service account.
Concedi il ruolo
Service Account Token Creatoral account di servizio. Per istruzioni, vedi Concedere un singolo ruolo.
Crea una chiave dell'account di servizio
Devi creare una chiave dell'account di servizio P12 per l'account di servizio utilizzato per il recupero dei token basato su JWT.
Per creare una chiave dell'account di servizio, segui questi passaggi:
Nella Google Cloud console, vai alla pagina IAM & Admin Service accounts.
Selezionare il tuo progetto Google Cloud .
Fai clic sull'indirizzo email del account di servizio che hai creato per il recupero dei token basato su JWT nella sezione precedente, Crea un service account.
Sotto il nome del account di servizio, fai clic sulla scheda Chiavi.
Fai clic sul menu a discesa Aggiungi chiave, quindi seleziona Crea nuova chiave per creare una account di servizio account.
Accetta P12 come tipo di chiave e fai clic su Crea.
Sul computer viene scaricata una chiave privata.
Prendi nota della password per il file della chiave privata,
notasecret.Fornisci la chiave privata e la password all'amministratore SAP per importare la chiave privata in
STRUST, come descritto in Importare la chiave del account di servizio in STRUST.
Specifica il account di servizio per la firma JWT
Per specificare il account di servizio per la firma JWT, procedi nel seguente modo:
In SAP GUI, esegui il codice transazione
/GOOG/SDK_IMG.In alternativa, esegui il codice di transazione
SPROe poi fai clic su SAP Reference IMG.Fai clic su ABAP SDK for Google Cloud > Impostazioni di base > Configura parametri.
Fai clic su Nuove voci.
Nel campo Nome parametro, inserisci
JWT_SERVC_ACCT. La descrizione del parametro viene compilata automaticamente.Nel campo Valore parametro, inserisci il nome dell'account di servizio.
Salva la nuova voce.
Configura le impostazioni di sicurezza per Google Cloud sul sistema host SAP
Per attivare la firma JWT per il account di servizio creato per il recupero dei token basato su JWT, devi configurare le impostazioni di sicurezza perGoogle Cloud sul sistema host SAP.
Crea una nuova applicazione Secure Store and Forward (SSF)
Ogni voce SSFAPPLIC consente di salvare una singola chiave del account di servizio.
Per salvare le chiavi del account di servizio per più progetti, devi creare
più voci SSFAPPLIC seguendo gli stessi passaggi.
Per creare una nuova voce nella tabella SSFAPPLIC, segui questi passaggi:
- Nella GUI SAP, inserisci il codice di transazione
SE16. - Nel campo Nome tabella, inserisci
SSFAPPLICe crea una nuova voce. - Nel campo APPLIC, inserisci un nome per l'applicazione SSF, ad esempio
ZG_JWT. - Ad eccezione dei campi B_INCCERTS, B_DETACHED, B_ASKPWD e B_DISTRIB, seleziona tutti gli altri campi.
- Nel campo DESCRIPT, inserisci
JWT Signature for GCP. Salva la nuova voce.
Questa voce diventa un nuovo nodo nella transazione
STRUST, in cui importi la chiave delaccount di serviziot.
Attiva il nodo STRUST
Utilizza la transazione SSFA per attivare il nodo STRUST per JWT Signature for GCP.
Per abilitare il nodo STRUST:
- Nella GUI SAP, inserisci il codice di transazione
SSFA. - Fai clic su Nuove voci.
Nell'elenco a discesa SSF Application, seleziona
JWT Signature for GCP. Questa è la nuova voce che hai creato nella tabellaSSFAPPLIC.I parametri SSF specifici dell'applicazione vengono compilati automaticamente.
Salva la nuova voce.
Un nuovo nodo
SSF JWT Signature for GCPè abilitato nella transazioneSTRUST.
Importa la chiave del account di servizio in STRUST
Per importare la chiave dell'account di servizio in STRUST, segui questi passaggi:
Nella GUI SAP, inserisci il codice di transazione
STRUST.Verifica che il nuovo nodo nella transazione
STRUSTsiaSSF JWT Signature for GCP.Importa il file della chiave privata:
- Seleziona PSE > Importa dalla barra dei menu.
- A seconda del sistema SAP, seleziona la chiave privata appropriata:
- SAP S/4HANA
- Seleziona la chiave privata P12.
- Inserisci la password del file
notasecrete fai clic su Ok.
- SAP ECC
- Seleziona la chiave privata PSE. Devi convertire la chiave privata P12 scaricata in precedenza in una chiave privata PSE. Per ulteriori informazioni sulla conversione di una chiave P12 in una chiave PSE, vedi Convertire la chiave P12 in una chiave PSE.
- Inserisci il PIN del file che hai creato durante la conversione della chiave privata dalla chiave P12 alla chiave PSE, quindi fai clic su OK.
- SAP S/4HANA
Seleziona PSE > Salva con nome.
Seleziona Applicazione SSF e, nel campo di input corrispondente, seleziona il nuovo nodo Applicazione SSF che hai creato in Crea una nuova applicazione Secure Store and Forward (SSF).
Salva la nuova voce.
La chiave di servizio è collegata al nodo dell'applicazione SSF
SSF JWT Signature for GCP.
Converti la chiave privata P12 in chiave PSE
Se il tuo sistema SAP è SAP NetWeaver 7.0x (SAP ECC), devi convertire la chiave P12 in una chiave PSE.
Per convertire la chiave P12 in una chiave PSE, segui questi passaggi:
Vai al percorso:
/usr/sap/SID/SYS/exe/run/
Sostituisci SID con l'ID sistema SAP.
Esegui questo comando dopo aver sostituito i segnaposto:
sapgenpse import_p12 -p PSE_PATH_AND_FILE_NAME P12_PATH_AND_FILE_NAME.p12
Sostituisci quanto segue:
PSE_PATH_AND_FILE_NAME: specifica il percorso e il nome file per il file PSEP12_PATH_AND_FILE_NAME: specifica il percorso e il nome del file chiave P12
Inserisci la password del file della chiave privata P12,
notasecret.Crea un nuovo PIN per la chiave privata PSE e inseriscilo di nuovo.
Prendi nota del PIN, in quanto dovrai fornirlo quando importi il file della chiave privata PSE in
STRUST.
Per informazioni da SAP su come convertire una chiave P12 in una chiave PSE, consulta:
Abilita le API Google Cloud
Nella console Google Cloud , abilita l'API IAM Service Account Credentials per il progetto Google Cloud che richiede l'autenticazione. Oltre all'API IAM Service Account Credentials, devi abilitare tutte le altre API supportate a cui prevedi di accedere utilizzando l'SDK.
Per informazioni su come abilitare le API Google Cloud , vedi Abilitazione delle API.
Crea un account di servizio per l'autorizzazione all'accesso alle API Google Cloud
Per l'autenticazione e l'autorizzazione per accedere alle API Google Cloud , l'SDK ABAP per Google Cloud richiede un account di servizio IAM.
Crea un account di servizio
Nella console Google Cloud , crea un account di servizio IAM. Questo account di servizio deve essere un principal nel progetto Google Cloud che contiene le APIGoogle Cloud che prevedi di utilizzare con l'SDK. Se crei il account di servizio nello stesso progetto che contiene le API Google Cloud , il account di servizio viene aggiunto automaticamente come principal al progetto.
Se crei il account di servizio in un progetto diverso da quello in cui sono abilitate le API Google Cloud , devi aggiungere il account di servizio a quel progetto in un passaggio aggiuntivo.
Nella console Google Cloud , crea un account di servizio IAM per l'autenticazione e l'autorizzazione per accedere alle API Google Cloud .
Per informazioni su come creare un account di servizio, vedi Creare un service account.
Nella console Google Cloud , concedi al account di servizio i ruoli IAM necessari per accedere alla funzionalità API. Per comprendere il requisito del ruolo per le Google Cloud API, consulta la documentazione delle singole API e segui il principio del privilegio minimo. Per ulteriori informazioni sui ruoli predefiniti specifici dell'API, consulta Trovare ruoli IAM per le Google Cloud API.
Se hai creato l'account di servizio in un progetto diverso da quello che contiene le API che prevedi di utilizzare con l'SDK, annota il nome dell'account di servizio. Google Cloud Specifichi il nome quando aggiungi l'account di servizio al progetto. Per saperne di più, vedi Aggiungere l'account di servizio al progetto Google Cloud .
Aggiungi il account di servizio al progetto Google Cloud
Se hai creato l'account di servizio per ABAP SDK for Google Cloud in un progetto diverso da quello che contiene le API che prevedi di utilizzare con l'SDK, devi aggiungere l'account di servizio al progetto che contiene le API. Google Cloud Google Cloud Google Cloud
Se hai creato il account di servizio nello stesso progetto che contiene le APIGoogle Cloud , puoi ignorare questo passaggio.
Per aggiungere un account di servizio esistente al progetto Google Cloud che contiene le API Google Cloud , segui questi passaggi:
Nella console Google Cloud , vai alla pagina Autorizzazioni IAM:
Verifica che il nome del progetto che contiene le APIGoogle Cloud di destinazione sia visualizzato nella parte superiore della pagina. Ad esempio:
Autorizzazioni per il progetto "
PROJECT_NAME"In caso contrario, cambia progetto.
Nella pagina IAM, fai clic su Concedi l'accesso. Si apre la finestra di dialogo Concedi l'accesso a "
PROJECT_NAME".Nella finestra di dialogo Concedi l'accesso a "
PROJECT_NAME", segui questi passaggi:- Nel campo Nuove entità, specifica il nome del account di servizio.
Nel campo Seleziona un ruolo, specifica un ruolo pertinente. Ad esempio, per Pub/Sub, per modificare argomenti e sottoscrizioni e accedere per pubblicare e utilizzare messaggi, puoi specificare il ruolo Editor Pub/Sub (
roles/pubsub.editor).Per maggiori dettagli sui ruoli predefiniti specifici dell'API, consulta Riferimento ai ruoli IAM di base e predefiniti.
Aggiungi altri ruoli in base alle esigenze per l'utilizzo dell'API. Implementa le best practice consigliate da Google applicando il principio del privilegio minimo.
Fai clic su Salva. Il account di servizio viene visualizzato nell'elenco dei principali del progetto nella pagina IAM.
Ora l'account di servizio può essere utilizzato per accedere alle API Google Cloud in questo progetto.
Crea configurazioni SAP
Per l'autenticazione basata su JWT, crea le configurazioni SAP richieste.
Specifica le impostazioni di accesso nella tabella delle chiavi client
Per specificare le impostazioni di accesso, segui questi passaggi:
In SAP GUI, esegui il codice transazione
/GOOG/SDK_IMG.In alternativa, esegui il codice di transazione
SPROe poi fai clic su SAP Reference IMG.Fai clic su ABAP SDK for Google Cloud > Impostazioni di base > Configura chiave client.
Fai clic su Nuove voci.
Inserisci i valori per i seguenti campi:
Campo Descrizione Nome della chiave Google Cloud Specifica un nome per la configurazione della chiave client. Nome account di servizio Google Cloud Specifica il nome del account di servizio, nel formato dell'indirizzo email, che è stato creato per ABAP SDK for Google Cloud nel passaggio Crea un service account. Ad esempio:
sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com.Ambito di Google Cloud L'ambito predefinito e obbligatorio è https://www.googleapis.com/auth/cloud-platform. Se devi specificare ambiti aggiuntivi, fornisci un elenco separato da virgole.ID progetto Specifica l'ID del progetto Google Cloud che contiene le API di destinazione. Nome del comando Lascia vuoto questo campo. Classe di autorizzazione Specifica la classe di autorizzazione, /GOOG/CL_AUTH_JWT.Campo Autorizzazione Lascia vuoto questo campo. Secondi di aggiornamento del token Lascia vuoto questo campo. Parametro di autorizzazione 1 Specifica il nome dell'applicazione SSF che hai creato nella sezione Crea una nuova applicazione Secure Store and Forward (SSF). Salva la nuova voce.
Crea nuove destinazioni RFC
Crea destinazioni RFC per l'API IAM e altre API che prevedi di utilizzare con l'SDK ABAP per Google Cloud, ad esempio l'API Pub/Sub v1.
| Nome destinazione RFC | Note |
|---|---|
ZGOOG_IAMCREDENTIALS |
Questa destinazione RFC ha come target l'API IAM . |
ZGOOG_OAUTH2_TOKEN |
Questa destinazione RFC ha come target l'endpoint Google Cloud per l'autenticazione basata su token. |
ZGOOG_PUBSUB_V1 |
Questa destinazione RFC ha come target l'API Pub/Sub. |
Per informazioni sulla creazione di destinazioni RFC, consulta Destinazioni RFC.
Specificare le destinazioni RFC nella tabella di mappatura dei servizi
Nella tabella di mappatura dei servizi, specifica le destinazioni RFC per l'API IAM e altre API che prevedi di utilizzare con l'SDK ABAP per Google Cloud.
Per specificare le destinazioni RFC, segui questi passaggi:
In SAP GUI, esegui il codice transazione
/GOOG/SDK_IMG.In alternativa, esegui il codice di transazione
SPROe poi fai clic su SAP Reference IMG.Fai clic su ABAP SDK for Google Cloud > Impostazioni di base > Configura mappatura dei servizi.
Fai clic su Nuove voci.
Specifica le destinazioni RFC per l'API IAM e altre API. Ad esempio:
Nome Nome servizio Destinazione RFC Nome della chiave Google Cloud iamcredentials:v1ZGOOG_IAMCREDENTIALSNome della chiave Google Cloud googleapis.com/oauth2ZGOOG_OAUTH2_TOKENNome della chiave Google Cloud pubsub.googleapis.comZGOOG_PUBSUB_V1Salva la nuova voce.
Convalida la configurazione dell'autenticazione
Per convalidare la configurazione dell'autenticazione per la sua preparazione:
In SAP GUI, esegui il codice transazione
/GOOG/SDK_IMG.In alternativa, esegui il codice di transazione
SPROe poi fai clic su SAP Reference IMG.Fai clic su ABAP SDK for Google Cloud > Utilità > Convalida configurazione autenticazione.
Inserisci il nome della chiave client.
Fai clic su Esegui.
Un segno di spunta verde nella colonna Risultato indica che tutti i passaggi di configurazione sono stati completati correttamente.
Assistenza
Se hai bisogno di aiuto per risolvere i problemi relativi all'ABAP SDK for Google Cloud, procedi nel seguente modo:
Consulta la guida alla risoluzione dei problemi di ABAP SDK for Google Cloud.
Poni le tue domande e discuti di ABAP SDK for Google Cloud con la community nei forum di Cloud.
Raccogli tutte le informazioni diagnostiche disponibili e contatta l'assistenza clienti Google Cloud. Per informazioni su come contattare l'assistenza clienti, vedi Assistenza per SAP su Google Cloud.