[发明专利]基于云的应用部署中的凭证管理

权利要求书

1.一种用于凭证管理的系统，包括：

包括一个或多个计算机的凭证管理器，所述凭证管理器被编程为执行包括下述的操作：

从第一用户设备接收机密，所述机密包括机密名称、机密类型、机密范围和机密值；以及

将所述机密值存储在对应于所述机密类型的机密数据库中；以及

包括一个或多个计算机的部署指导器，所述部署指导器被编程为执行包括下述的操作：

从第二用户设备接收用于在基于云的计算平台上部署应用的部署清单；

从所述部署清单中识别所述机密范围和到所述凭证管理器的链接；

从所述部署清单中识别所述机密类型和所述机密名称，所述机密类型和所述机密名称与所述基于云的计算平台的资源相关联；

根据所述链接，向所述凭证管理器提交获取机密请求，所述获取机密请求包括所述机密范围、所述机密类型和所述机密名称；

从所述凭证管理器接收对应于所述机密范围中的机密名称的机密值，所述机密值由所述凭证管理器从对应于所述机密类型的机密数据库中检索；

修改所述部署清单，包括利用从所述凭证管理器接收的机密值替换所述部署清单中的机密名称；以及

根据所修改的部署清单，在基于云的计算平台上部署所述应用，包括允许所述应用使用所述机密值访问所述基于云的计算平台的资源。

2.根据权利要求1所述的系统，其中，所述机密值包括一个或多个凭证、一个或多个证书，或一个或多个安全密钥。

3.一种用于凭证管理的系统，包括：

一个或多个计算机和存储指令的一个或多个存储设备，所述指令当由所述一个或多个计算机执行时，可操作以使所述一个或多个计算机执行包括下述的操作：

接收用于在云计算平台中部署应用的部署清单，所述部署清单指定用于配置所述云计算平台的资源以服务于所述应用的参数；

从所述参数中识别与所述资源相关联的一个或多个机密名称；

从凭证管理器请求所述一个或多个机密名称中的每一个的相应的机密值；

修改所述部署清单，包括利用从所述凭证管理器接收的对应的机密值替换所述部署清单中的一个或多个机密名称中的每一个；以及

使用所修改的部署清单，为所述应用配置资源，包括创建供所述应用消费的服务实例并且使用所述一个或多个机密值，将所述资源绑定到所述服务实例。

4.根据权利要求3所述的系统，其中，所述部署清单包括对所述凭证管理器的引用，所述凭证管理器管理用于访问所述资源的凭证，所述引用包括到所述凭证管理器的统一资源标识符(URI)和范围名称，所述范围名称指定一个或多个机密名称的命名空间。

5.根据权利要求3所述的系统，所述操作包括：

从所述凭证管理器接收指示所述一个或多个机密名称的第一机密名称不具有对应的机密值的消息；

请求所述凭证管理器为所述第一机密名称生成第一机密值；以及

利用所述第一机密值替换所述部署清单中的所述第一机密名称。

6.根据权利要求3所述的系统，其中，每个机密值被存储在机密数据库中，所述机密数据库由设置的机密命令通过所述凭证管理器的用户界面，或通过应用编程接口(API)来填充。

7.根据权利要求6所述的系统，其中，所述机密数据库存储多个机密，每个机密具有机密类型、机密范围，与所述部署清单中的机密名称匹配的名称，以及包括密钥值对、证书或安全密钥中的至少一个的机密值。

8.根据权利要求3所述的系统，其中，所述资源是网络、消息传递系统、所述云计算平台的节点、存储系统或路由设备。

9.根据权利要求3所述的系统，其中，在所述部署清单中，每个机密名称与相应的机密类型相关联，所述机密类型向所述凭证管理器提供指示处理所述机密类型的机密的机密管理系统的提示。