Mit JSON-Webtokens authentifizieren

In diesem Dokument wird beschrieben, wie Sie die Authentifizierung für den Zugriff auf Google Cloudeinrichten, wenn Ihr SAP-System auf einem lokalen Host, bei einem anderen Cloud-Anbieter oder in einer anderen Umgebung außerhalb von Google Cloudausgeführt wird oder von SAP über das SAP RISE-Programm verwaltet wird.

Zur Authentifizierung bei Google Cloudverwenden Sie von Google Cloudsignierte JSON Web Tokens (JWT), um Zugriffstokens von Google Cloudabzurufen. Es müssen folgende allgemeine Konfigurations-Schritte ausgeführt werden:

1. Aktivieren Sie die Google Cloud APIs.
2. Erstellen Sie ein Dienstkonto für den JWT-basierten Tokenabruf.
   1. Dem Dienstkonto die IAM-Rolle gewähren, die zum Erstellen von Tokens erforderlich ist.
   2. Erstellen Sie einen Dienstkontoschlüssel (P12).
   3. JWT-Signieren für das Dienstkonto auf dem SAP LT Replication Server-Host aktivieren
3. Sicherheitseinstellungen für Google Cloud auf dem SAP LT Replication Server-Host konfigurieren.
   1. Erstellen Sie eine neue SSF-Anwendung und aktivieren Sie den STRUST-Knoten für die SSF-Anwendung.
   2. Importieren Sie den Dienstkontoschlüssel in STRUST.
4. Erstellen Sie ein weiteres Dienstkonto für die Autorisierung.
   1. Dem Dienstkonto die IAM-Rollen gewähren, die für den Zugriff auf BigQuery erforderlich sind.
   2. Das Dienstkonto von BigQuery-Connector für SAP zum Zielprojekt hinzufügen.
5. Erstellen Sie ein BigQuery-Dataset.
6. TLS/SSL-Zertifikate und HTTPS einrichten
7. Zugriffseinstellungen in /GOOG/CLIENT_KEY angeben
   1. Neue RFC-Ziele konfigurieren

Google Cloud APIs aktivieren

Aktivieren Sie in Ihrem Google Cloud Projekt die erforderlichen Google Cloud APIs.

• Aktivieren Sie für die CDC-Replikation über Pub/Sub die folgenden APIs:

  • Pub/Sub API
  • BigQuery API
  • IAM Service Account Credentials API

• Aktivieren Sie für die Replikation von Streamingdaten die folgenden APIs:

  • BigQuery API
  • IAM Service Account Credentials API

Informationen zum Aktivieren von Google Cloud APIs finden Sie unter APIs aktivieren.

Dienstkonto für den JWT-basierten Tokenabruf erstellen

Für die JWT-basierte Authentifizierung bei Google Cloudbenötigt BigQuery-Connector für SAP ein IAM-Dienstkonto.

Dienstkonto erstellen

So erstellen Sie ein Dienstkonto für den JWT-basierten Tokenabruf:

1. Rufen Sie in der Google Cloud Console die Seite IAM & Verwaltung > Dienstkonten auf.

   Zur Seite „Dienstkonten“

2. Wählen Sie bei Aufforderung Ihr Google Cloud Projekt aus.

3. Klicken Sie auf Dienstkonto erstellen.

4. Geben Sie einen Namen für das Dienstkonto und optional eine Beschreibung an.

5. Klicken Sie auf Erstellen und fortfahren.

6. Wählen Sie im Bereich Diesem Dienstkonto Zugriff auf das Projekt erteilen die Rolle Ersteller von Dienstkonto-Tokens aus.

7. Klicken Sie auf Weiter.

8. Gewähren Sie Nutzern gegebenenfalls Zugriff auf das Dienstkonto.

9. Klicken Sie auf Fertig. Das Dienstkonto wird in der Liste der Dienstkonten für das Google Cloud Projekt angezeigt.

Dienstkontoschlüssel erstellen

Sie müssen einen P12-Dienstkontoschlüssel für das Dienstkonto erstellen, das für den JWT-basierten Tokenabruf verwendet wird.

Führen Sie die folgenden Schritte aus, um einen Dienstkontoschlüssel zu erstellen:

1. Rufen Sie in der Google Cloud Console unter „IAM und Verwaltung“ die Seite Dienstkonten auf.

   Zur Seite „Dienstkonten“

2. Wählen Sie Ihr Google Cloud Projekt aus.

3. Klicken Sie auf die E-Mail-Adresse des Dienstkontos, das Sie im vorherigen Abschnitt Dienstkonto erstellen für den JWT-basierten Tokenabruf erstellt haben.

4. Klicken Sie unter dem Namen des Dienstkontos auf den Tab Schlüssel.

5. Klicken Sie auf das Drop-down-Menü Schlüssel hinzufügen und wählen Sie Neuen Schlüssel erstellen, um einen Dienstkontoschlüssel zu erstellen.

6. Verwenden Sie als Schlüsseltyp P12 und klicken Sie auf ERSTELLEN.

   Ein privater Schlüssel wird auf Ihrem Computer gespeichert.

7. Notieren Sie sich das Passwort für die private Schlüsseldatei notasecret.

   Geben Sie den privaten Schlüssel und das Passwort Ihrem SAP-Administrator, um den privaten Schlüssel in STRUST zu importieren, wie unter Dienstkontoschlüssel in STRUST importieren beschrieben.

JWT-Signieren für das Dienstkonto auf dem SAP LT Replication Server-Host aktivieren

Um die JWT-Signierung für das Dienstkonto zu aktivieren, das Sie für das JWT-basierte Abrufen von Tokens erstellt haben, müssen Sie den Parameter JWT_SERVC_ACCT zur Tabelle /GOOG/BQ_PARAM hinzufügen und das Dienstkonto konfigurieren.

So aktivieren Sie die JWT-Signieren für ein Dienstkonto:

1. Geben Sie in der SAP-GUI die Transaktion /GOOG/SLT_SETTINGS, der /n vorangestellt ist:

   /n/GOOG/SLT_SETTINGS

2. Wählen Sie im Drop-down-Menü Einstellungentabelle im Startbildschirm für die Transaktion /GOOG/SLT_SETTINGS die Option Parameter aus.

3. Klicken Sie auf das Symbol Ausführen. Der Bildschirm BigQuery-Einstellungen warten – Parameter wird angezeigt.

4. Klicken Sie auf das Symbol Zeile einfügen.

5. Geben Sie in der angezeigten Zeile die folgenden Einstellungen an:

   1. Geben Sie im Feld Parameter Name JWT_SERVC_ACCT ein. Die Parameterbeschreibung wird automatisch ausgefüllt.
   2. Geben Sie in Feld Parameterwert die E-Mail-Adresse des Dienstkontos ein, das Sie im vorherigen Abschnitt, Dienstkonto erstellen, für den JWT-basierten Tokenabruf erstellt haben.

6. Klicken Sie auf Speichern.

   Ihre Einstellungen werden als Datensatz in der Konfigurationstabelle /GOOG/BQ_PARAM gespeichert und die Felder Geändert von, Geändert am und Geändert um werden automatisch ausgefüllt.

Sicherheitseinstellungen für Google Cloud auf dem SAP LT Replication Server-Host konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie Sicherheitseinstellungen für Google Cloudauf dem SAP LT Replication Server-Host konfigurieren. Dazu müssen Sie einen SSF-Anwendungseintrag erstellen und den Dienstkontoschlüssel in STRUST importieren.

Neue SSF-Anwendung (Secure Store and Forward) erstellen

In der Tabelle SSFAPPLIC wird der Eintrag ZG_JWT als Teil des BigQuery-Connector für SAP-Transports importiert. Falls der Eintrag ZG_JWT nicht importiert wird, müssen Sie mit der Transaktion SE16 einen neuen Eintrag mit dem Namen ZG_JWT erstellen.

Führen Sie die folgenden Schritte aus, um einen neuen Eintrag in der Tabelle SSFAPPLIC zu erstellen:

1. Geben Sie in der SAP-GUI den Transaktionscode SE16 ein.
2. Geben Sie im Feld Tabellenname den Namen SSFAPPLIC ein und erstellen Sie einen neuen Eintrag.
3. Geben Sie im Feld APPLIC den Wert ZG_JWT ein.
4. Bis auf die Felder B_INCCERTS, B_DETACHED, B_ASKPWD und B_DISTRIB wählen Sie alle anderen Felder aus.
5. Geben Sie im Feld DESCRIPT den Wert JWT Signature for GCP ein.

6. Speichern Sie den neuen Eintrag.

   Dieser Eintrag wird zu einem neuen Knoten in der Transaktion STRUST, wo Sie den Dienstkontoschlüssel importieren.

STRUST-Knoten aktivieren

Verwenden Sie die Transaktion SSFA, um den Knoten STRUST für JWT Signature for GCP zu aktivieren.

Führen Sie die folgenden Schritte aus, um das Knoten STRUST zu aktivieren:

1. Geben Sie in der SAP-GUI den Transaktionscode SSFA ein.
2. Klicken Sie auf Neue Einträge.

3. Wählen Sie in der Drop-down-Liste SSF-Anwendung die Option JWT Signature for GCP aus. Dies ist der neue Eintrag, den Sie in der Tabelle SSFAPPLIC erstellt haben.

   Der folgende Screenshot zeigt die anwendungsspezifischen SSF-Parameter, die automatisch von SAP ausgefüllt werden.

   

4. Speichern Sie den neuen Eintrag.

   Ein neuer Knoten SSF JWT Signature for GCP wird in der Transaktion STRUST aktiviert. Jetzt importieren Sie den Dienstkontoschlüssel in diesen Knoten.

Dienstkontoschlüssel in STRUST importieren

Schließen Sie die folgenden Schritte ab, um den Dienstkontoschlüssel in STRUST zu importieren:

1. Geben Sie in der SAP-GUI den Transaktionscode STRUST ein.

   Prüfen Sie, ob der neue Knoten in der Transaktion STRUST den Namen SSF JWT Signature for GCP hat.

2. Importieren Sie die Datei mit dem privaten Schlüssel:

   1. Wählen Sie in der Menüleiste PSE > Importieren aus.
   2. Wählen Sie je nach Quellsystemtyp den entsprechenden privaten Schlüssel aus:
      • S4/HANA
        1. Wählen Sie den privaten P12-Schlüssel aus.
        2. Geben Sie das Dateipasswort notasecret ein und klicken Sie dann auf OK.
      • ECC
        1. Wählen Sie den privaten PSE-Schlüssel aus. Sie müssen den zuvor heruntergeladenen privaten P12-Schlüssel in einen privaten PSE-Schlüssel konvertieren. Weitere Informationen zum Konvertieren eines P12-Schlüssels in einen PSE-Schlüssel finden Sie unter P12-Schlüssel in PSE-Schlüssel konvertieren.
        2. Geben Sie die Datei-PIN ein, die Sie während der Konvertierung des privaten Schlüssels vom P12-Schlüssel in den PSE-Schlüssel erstellt haben, und klicken Sie dann auf OK.

3. Wählen Sie PSE > Speichern unter.

4. Wählen Sie die Optionsschaltfläche SSF-Anwendung aus und wählen Sie im entsprechenden Feld den neuen SSF-Anwendungsknoten aus, den Sie in Neue SSF-Anwendung (Secure Store and Forward) erstellen erstellt haben.

5. Speichern Sie den neuen Eintrag.

   Der Dienstschlüssel wird an den SSF-Anwendungsknoten SSF JWT Signature for GCP angehängt.

Privaten P12-Schlüssel in PSE-Schlüssel konvertieren

Wenn Ihr Quellsystem SAP NetWeaver 7.0x (SAP ECC) ist, müssen Sie den P12-Schlüssel in einen PSE-Schlüssel konvertieren.

Schließen Sie die folgenden Schritte ab, um den P12-Schlüssel in einen PSE-Schlüssel umzuwandeln:

1. Gehen Sie zum Pfad:

   /usr/sap/SID/SYS/exe/run/

   Ersetzen Sie SID durch die SAP-System-ID.

2. Führen Sie den folgenden Befehl aus, nachdem Sie die Platzhalter ersetzt haben:

   sapgenpse import_p12 -p PSE_PATH_AND_FILE_NAME P12_PATH_AND_FILE_NAME.p12

   Ersetzen Sie Folgendes:

   • PSE_PATH_AND_FILE_NAME: Geben Sie den Pfad und den Dateinamen der PSE-Datei an.
   • P12_PATH_AND_FILE_NAME: Geben Sie den Pfad und den Dateinamen der P12-Schlüsseldatei an.

3. Geben Sie das Passwort notasecret der privaten P12-Schlüsseldatei ein.

4. Erstellen Sie eine neue PIN für den privaten PSE-Schlüssel und geben Sie Ihre PIN noch einmal ein.

5. Notieren Sie sich die PIN. Sie müssen sie beim Importieren der privaten PSE-Schlüsseldatei in STRUST angeben.

Informationen von SAP zur Konvertierung eines P12-Schlüssels in einen PSE-Schlüssel finden Sie unter:

• SAP-Hinweis 2148457 – Wie Sie das Schlüsselpaar eines PKCS#12 / PFX-Containers in eine PSE-Datei konvertieren
• SAP-Hinweis 2976401 – „import_p12: Fehler beim Erstellen eines PSE“ Fehler bei der Konvertierung eines Schlüsselpaares aus einem PKCS#12 / PFX-Container in eine PSE-Datei

Dienstkonto für die Autorisierung erstellen

In diesem Abschnitt wird beschrieben, wie Sie ein Dienstkonto für die Autorisierung erstellen und TLS/SSL-Zertifikate für die sichere Kommunikation einrichten.

Dienstkonto erstellen

BigQuery-Connector für SAP benötigt ein IAM-Dienstkonto für die Authentifizierung und Autorisierung für den Zugriff auf Google Cloud -Ressourcen.

Dieses Dienstkonto muss ein Hauptkonto im Google Cloud -Projekt sein, das Ihre aktivierten Google Cloud APIs enthält. Wenn Sie das Dienstkonto im selben Projekt wie die Google Cloud APIs erstellen, wird das Dienstkonto dem Projekt automatisch als Hauptkonto hinzugefügt.

Wenn Sie das Dienstkonto in einem anderen Projekt als dem Projekt erstellen, das die aktivierten Google Cloud APIs enthält, müssen Sie das Dienstkonto in einem zusätzlichen Schritt zum Projekt mit den aktivierten Google Cloud APIs hinzufügen.

So erstellen Sie ein Dienstkonto:

1. Rufen Sie in der Google Cloud Console die Seite IAM & Verwaltung > Dienstkonten auf.

   Zur Seite „Dienstkonten“

2. Wählen Sie bei Aufforderung Ihr Google Cloud Projekt aus.

3. Klicken Sie auf Dienstkonto erstellen.

4. Geben Sie einen Namen für das Dienstkonto und optional eine Beschreibung an.

5. Klicken Sie auf Erstellen und fortfahren.

6. Wenn Sie das Dienstkonto im selben Projekt wie die aktivierten Google Cloud APIs erstellen, wählen Sie im Bereich Diesem Dienstkonto Zugriff auf das Projekt erteilen die entsprechenden Rollen aus:

   Wählen Sie für die CDC-Replikation über Pub/Sub die folgenden Rollen aus:

   • Pub/Sub-Bearbeiter
   • BigQuery-Dateneditor
   • BigQuery-Jobnutzer

   Wählen Sie für die Replikation von Streamingdaten die folgenden Rollen aus:

   • BigQuery-Dateneditor
   • BigQuery-Jobnutzer

   Wenn Sie das Dienstkonto in einem anderen Projekt als dem Projekt mit den aktivierten Google Cloud APIs erstellen, weisen Sie dem Dienstkonto keine Rollen zu.

7. Klicken Sie auf Weiter.

8. Gewähren Sie Nutzern gegebenenfalls Zugriff auf das Dienstkonto.

9. Klicken Sie auf Fertig. Das Dienstkonto wird in der Liste der Dienstkonten für das Projekt angezeigt.

10. Wenn Sie das Dienstkonto in einem anderen Projekt als dem Projekt erstellt haben, das die aktivierten Google Cloud APIs enthält, notieren Sie sich den Namen des Dienstkontos. Sie geben den Namen an, wenn Sie das Dienstkonto dem Projekt mit aktivierten Google Cloud APIs hinzufügen. Weitere Informationen finden Sie unter Dienstkonto zum BigQuery-Projekt hinzufügen.

Das Dienstkonto wird jetzt als Hauptkonto auf der Seite IAM-Berechtigungen des Google Cloud Projekts aufgeführt, in dem das Dienstkonto erstellt wurde.

Dienstkonto dem Zielprojekt hinzufügen

Wenn Sie das Dienstkonto für BigQuery-Connector für SAP in einem anderen Projekt als dem Projekt erstellt haben, das die aktivierten Google Cloud APIs enthält, müssen Sie das Dienstkonto dem Projekt mit den aktivierten Google Cloud APIs hinzufügen.

Wenn Sie das Dienstkonto im selben Projekt wie die aktivierten Google Cloud APIs erstellt haben, können Sie diesen Schritt überspringen.

Führen Sie die folgenden Schritte aus, um dem BigQuery-Dataset-Projekt ein vorhandenes Dienstkonto hinzuzufügen:

1. Rufen Sie in der Google Cloud Console die Seite „IAM-Berechtigungen“ auf:

   Zu "IAM-Berechtigungen"

2. Prüfen Sie, ob der Name des Projekts, in dem die aktiviertenGoogle Cloud -APIs enthalten sind, oben auf der Seite angezeigt wird. Beispiel:

   Berechtigungen für das Projekt "PROJECT_NAME"

   Ist das nicht der Fall, wechseln Sie zwischen Projekten.

3. Klicken Sie auf der IAM-Seite auf addpersonHinzufügen. Das Dialogfeld Hauptkonten zu "PROJECT_NAME" hinzufügen wird geöffnet.

4. Führen Sie im Dialogfeld Hauptkonten zu "PROJECT_NAME" hinzufügen die folgenden Schritte aus:

   1. Geben Sie im Feld Neue Hauptkonten den Namen des Dienstkontos an.
   2. Geben Sie im Feld Rolle auswählen den BigQuery-Dateneditor ein.
   3. Klicken Sie auf WEITERE ROLLE HINZUFÜGEN. Das Feld Rolle auswählen wird noch einmal angezeigt.
   4. Geben Sie im Feld Rolle auswählen den BigQuery-Jobnutzer an.
   5. Wiederholen Sie für die CDC-Replikation über Pub/Sub den vorherigen Schritt und geben Sie Pub/Sub-Bearbeiter an.
   6. Klicken Sie auf Speichern. Das Dienstkonto wird in der Liste der Projekthauptkonten auf der Seite IAM angezeigt.

BigQuery-Dataset erstellen

Zum Erstellen eines BigQuery-Datasets muss Ihr Nutzerkonto die richtigen IAM-Berechtigungen für BigQuery haben. Weitere Informationen finden Sie unter Erforderliche Berechtigungen.

1. Rufen Sie in der Google Cloud Console die Seite „BigQuery“ auf.

   BigQuery aufrufen

2. Klicken Sie neben Ihrer Projekt-ID auf das Symbol Aktionen ansehen more_vert und dann auf Dataset erstellen.

   

3. Geben Sie im Feld Dataset-ID einen eindeutigen Namen ein. Weitere Informationen finden Sie unter Datasets benennen.

Weitere Informationen zum Erstellen von BigQuery-Datasets finden Sie unter Datasets erstellen.

TLS/SSL-Zertifikate und HTTPS einrichten

Die Kommunikation zwischen BigQuery-Connector für SAP und Google-Diensten wird mithilfe von TLS/SSL und HTTPS gesichert.

1. Wenn Sie eine Verbindung zu Google-Diensten herstellen möchten, folgen Sie den Empfehlungen von Google Trust Services. Sie müssen mindestens alle Root-CA-Zertifikate aus dem Repository von Google Trust Services herunterladen.

   Damit Sie immer die neuesten vertrauenswürdigen Root-CA-Zertifikate verwenden, empfehlen wir, den Root-Zertifikatspeicher Ihres Systems alle sechs Monate zu aktualisieren. Google kündigt neue und entfernte Root-CA-Zertifikate unter Google Trust Services an. Wenn Sie automatische Benachrichtigungen erhalten möchten, abonnieren Sie den RSS-Feed auf Google Trust Services.

2. Verwenden Sie in der SAP-GUI die Transaktion STRUST, um die Root-CA-Zertifikate in den PSE-Ordner SSL client SSL Client (Standard) zu importieren.

   Weitere Informationen von SAP finden Sie unter SAP-Hilfe – Liste der PSE-Zertifizierungen pflegen.

3. Prüfen Sie auf dem SAP LT Replication Server-Host, ob alle Firewallregeln oder Proxys so konfiguriert sind, dass sie ausgehenden Traffic vom HTTPS-Port zur BigQuery API zulassen.

   Insbesondere muss SAP LT Replication Server auf die folgendenGoogle Cloud APIs zugreifen können:

   • https://bigquery.googleapis.com
   • https://iamcredentials.googleapis.com
   • https://pubsub.googleapis.com

   Wenn BigQuery-Connector für SAP über Private Service Connect-Endpunkte in Ihrem VPC-Netzwerk auf Google Cloud APIs zugreifen soll, müssen Sie Folgendes tun: RFC-Ziele konfigurieren und Ihre Private Service Connect-Endpunkte angeben in diesen RFC-Zielen. Weitere Informationen finden Sie unter RFC-Ziele.

Weitere Informationen von SAP zum Einrichten von TLS/SSL finden Sie im SAP-Hinweis 510007 – Weitere Überlegungen zum Einrichten von TLS/SSL für Anwendungsserver-ABAP.

Zugriffseinstellungen in /GOOG/CLIENT_KEY angeben

Verwenden Sie die Transaktion SM30, um die Einstellungen für den Zugriff aufGoogle Cloudanzugeben. BigQuery-Connector für SAP speichert die Einstellungen als Datensatz in der benutzerdefinierten Konfigurationstabelle /GOOG/CLIENT_KEY.

So legen Sie die Zugriffseinstellungen fest:

1. Geben Sie in der SAP-GUI den Transaktionscode SM30 ein.

2. Wählen Sie die Konfigurationstabelle /GOOG/CLIENT_KEY aus.

3. Geben Sie Werte für die folgenden Tabellenfelder ein:

   Feld	Datentyp	Beschreibung
   Name	String	Geben Sie einen aussagekräftigen Namen für die CLIENT_KEY-Konfiguration an, z. B. BQC_CKEY. Ein Clientschlüsselname ist eine eindeutige Kennung, die vom BigQuery-Connector für SAP verwendet wird, um die Konfigurationen für den Zugriff auf Google Cloudzu identifizieren.
   Name des Dienstkontos	String	Der Name des Dienstkontos (im E-Mail-Adressformat), das für BigQuery-Connector für SAP im Schritt Dienstkonto erstellen erstellt wurde. Beispiel: sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com.
   Umfang	String	Der Zugriffsbereich. Geben Sie den https://www.googleapis.com/auth/cloud-platform-API-Zugriffsbereich an, wie von Compute Engine empfohlen.
   Projekt-ID	String	Die ID des Projekts, das Ihr BigQuery-Ziel-Dataset enthält.
   Befehlsname	String	Lassen Sie dieses Feld leer.
   Autorisierungsklasse	String	/GOOG/CL_GCP_AUTH_JWT
   Autorisierungsfeld	Nicht zutreffend	Lassen Sie dieses Feld leer.
   Sekunden bis Tokenaktualisierung	Ganzzahl	Lassen Sie dieses Feld leer.
   Token-Caching	Boolesch	Lassen Sie dieses Feld leer.

RFC-Ziele konfigurieren

Um den BigQuery-Connector für SAP mit Google Cloudzu verbinden, empfehlen wir die Verwendung von RFC-Zielen.

Die RFC-Beispielziele GOOG_OAUTH2_TOKEN, GOOG_IAMCREDENTIALS und GOOG_BIGQUERY werden als Teil des BigQuery-Connector für SAP-Transport importiert.

Sie müssen neue RFC-Ziele erstellen, indem Sie die RFC-Beispielziele kopieren.

So konfigurieren Sie die RFC-Ziele:

1. Geben Sie in der SAP-GUI den Transaktionscode SM59 ein.

2. (Empfohlen) Erstellen Sie neue RFC-Ziele. Kopieren Sie dazu die Beispiel-RFC-Ziele und notieren Sie sich die neuen RFC-Zielnamen. Sie verwenden sie in späteren Schritten.

   Der BigQuery-Connector für SAP verwendet RFC-Ziele, um eine Verbindung zuGoogle Cloud APIs herzustellen.

   Wenn Sie die RFC-Ziel-basierte Konnektivität testen möchten, können Sie diesen Schritt überspringen und die Beispiel-RFC-Ziele verwenden.

3. Gehen Sie für die RFC-Ziele, die Sie erstellt haben, so vor:

   1. Wechseln Sie zum Tab Technische Einstellungen und achten Sie darauf, dass das Feld Dienstnummer auf den Wert 443 gesetzt ist. Dies ist der Port, der von der RFC-Destination für die sichere Kommunikation verwendet wird.

   2. Gehen Sie zum Tab Anmeldung und Sicherheit und prüfen Sie, ob Feld SSL-Zertifikat auf die Option DFAULT SSL Client (Standard) festgelegt ist.

   3. Optional können Sie Proxyeinstellungen konfigurieren, die HTTP-Komprimierung aktivieren und Private Service Connect-Endpunkte angeben.

   4. Speichern Sie die Änderungen.

   5. Klicken Sie auf Verbindung testen, um die Verbindung zu testen.

      Eine Antwort mit 404 Not Found ist akzeptabel und zu erwarten, da der im RFC-Ziel angegebene Endpunkt einemGoogle Cloud -Dienst und nicht einer bestimmten Ressource entspricht, die vom Dienst gehostet wird. Eine solche Antwort weist darauf hin, dass der Zieldienst Google Clouderreichbar ist und keine Zielressource gefunden wurde.

4. Geben Sie in der SAP-GUI den Transaktionscode SM30 ein.

5. Notieren Sie sich in der Tabelle /GOOG/CLIENT_KEY, die Sie im vorherigen Abschnitt erstellt haben, den Wert für das Feld Name.

6. Erstellen Sie in der Tabelle /GOOG/SERVIC_MAP Einträge mit den folgenden Feldwerten:

   Google Cloud-Schlüsselname	Google-Dienstname	RFC-Ziel
   CLIENT_KEY_TABLE_NAME	bigquery.googleapis.com	Geben Sie den Namen Ihres RFC-Ziels an, das auf BigQuery ausgerichtet ist. Wenn Sie das Beispiel-RFC-Ziel zu Testzwecken verwenden, geben Sie GOOG_BIGQUERY an.
   CLIENT_KEY_TABLE_NAME	pubsub.googleapis.com	Geben Sie den Namen Ihres RFC-Ziels an, das auf Pub/Sub ausgerichtet ist. Wenn Sie das Beispiel-RFC-Ziel zu Testzwecken verwenden, geben Sie GOOG_PUBSUB an.
   CLIENT_KEY_TABLE_NAME	iamcredentials.googleapis.com	Geben Sie den Namen Ihres RFC-Ziels an, das auf IAM ausgerichtet ist. Wenn Sie das Beispiel-RFC-Ziel zu Testzwecken verwenden, geben Sie GOOG_IAMCREDENTIALS an.
   CLIENT_KEY_TABLE_NAME	googleapis.com/oauth2	Geben Sie den Namen Ihres RFC-Ziels an, das auf den Google OAuth 2.0-Tokenendpunkt ausgerichtet ist, der zum Tauschen von JWTs gegen Zugriffstokens verwendet wird. Wenn Sie das Beispiel-RFC-Ziel zu Testzwecken verwenden, geben Sie GOOG_OAUTH2_TOKEN an.

   Ersetzen Sie CLIENT_KEY_TABLE_NAME durch den Namen des Clientschlüssels, den Sie im vorherigen Schritt notiert haben.

Proxy-Einstellungen konfigurieren

Wenn Sie RFC-Ziele für die Verbindung mit Google Cloudverwenden, können Sie die Kommunikation von BigQuery-Connector für SAP über den Proxyserver weiterleiten, den Sie in Ihrer SAP-Umgebung verwenden.

Wenn Sie keinen Proxyserver verwenden möchten oder keinen in Ihrer SAP-Umgebung haben, können Sie diesen Schritt überspringen.

So konfigurieren Sie die Proxy-Server-Einstellungen für BigQuery-Connector für SAP:

1. Geben Sie in der SAP-GUI den Transaktionscode SM59 ein.

2. Wählen Sie Ihr RFC-Ziel aus, das auf IAM ausgerichtet ist.

3. Rufen Sie den Tab Technische Einstellungen auf und geben Sie Werte für die Felder im Abschnitt HTTP-Proxy-Optionen ein.

4. Wiederholen Sie den vorherigen Schritt für Ihr RFC-Ziel, das auf BigQuery ausgerichtet ist.

HTTP-Komprimierung aktivieren

Wenn Sie RFC-Ziele verwenden, um eine Verbindung zu Google Cloudherzustellen, können Sie die HTTP-Komprimierung aktivieren.

Wenn Sie diese Funktion nicht aktivieren möchten, können Sie diesen Schritt überspringen.

So aktivieren Sie die HTTP-Komprimierung:

1. Geben Sie in der SAP-GUI den Transaktionscode SM59 ein.

2. Wählen Sie Ihr RFC-Ziel aus, das auf BigQuery ausgerichtet ist.

3. Rufen Sie den Tab Special Options (Sonderoptionen) auf.

4. Wählen Sie im Feld HTTP-Version die Option HTTP 1.1 aus.

5. Wählen Sie für das Feld Komprimierung einen geeigneten Wert aus.

   Informationen zu den Komprimierungsoptionen finden Sie im SAP-Hinweis 1037677 – HTTP-Komprimierung komprimiert nur bestimmte Dokumente.

Private Service Connect-Endpunkte angeben

Wenn BigQuery-Connector für SAP Private Service Connect-Endpunkte verwenden soll, um den privaten Verbrauch von BigQuery und IAM zuzulassen, müssen Sie diese Endpunkte in Ihrem Google Cloud -Projekt erstellen und sie in den entsprechenden RFC-Zielen angeben.

Wenn BigQuery Connector für SAP weiterhin die standardmäßigen öffentlichen API-Endpunkte verwenden soll, um eine Verbindung zu BigQuery und IAM herzustellen, überspringen Sie diesen Schritt.

So konfigurieren Sie BigQuery-Connector für SAP für die Verwendung Ihrer Private Service Connect-Endpunkte:

1. Geben Sie in der SAP-GUI den Transaktionscode SM59 ein.

2. Prüfen Sie, ob Sie neue RFC-Ziele für BigQuery und IAM erstellt haben. Eine Anleitung zum Erstellen dieser RFC-Ziele finden Sie unter RFC-Ziele konfigurieren.

3. Wählen Sie das RFC-Ziel aus, das auf BigQuery ausgerichtet ist, und gehen Sie dann so vor:

   1. Zum Tab Technische Einstellungen gehen.

   2. Geben Sie im Feld Ziel Host den Namen des Private Service Connect-Endpunkts ein, den Sie für den Zugriff auf BigQuery erstellt haben.

   3. Klicken Sie auf den Tab Anmeldung und Sicherheit.

   4. Achten Sie darauf, dass im Feld Dienstnummer der Wert 443 angegeben ist.

   5. Für das Feld SSL-Zertifikat muss die Option DFAULT-SSL-Client (Standard) ausgewählt sein.

4. Wählen Sie das RFC-Ziel aus, das auf IAM ausgerichtet ist, und gehen Sie dann so vor:

   1. Zum Tab Technische Einstellungen gehen.

   2. Geben Sie im Feld Ziel Host den Namen des Private Service Connect-Endpunkts ein, den Sie für den Zugriff auf IAM erstellt haben.

   3. Klicken Sie auf den Tab Anmeldung und Sicherheit.

   4. Achten Sie darauf, dass im Feld Dienstnummer der Wert 443 angegeben ist.

   5. Für das Feld SSL-Zertifikat muss die Option DFAULT-SSL-Client (Standard) ausgewählt sein.

Nächste Schritte

• Connector für die CDC-Replikation über Pub/Sub konfigurieren

• Connector für die Replikation von Streamingdaten konfigurieren