[发明专利]基于云的应用部署中的凭证管理

说明书

用于凭证管理的系统、方法和计算机程序产品。应用部署系统接收用于在云计算环境中部署应用的部署清单。应用部署系统的部署指导器确定应用要使用的资源。部署指导器从部署清单确定用于访问资源的凭证的标识符，例如名称。部署指导器从应用部署系统的凭证管理器请求凭证。收到凭证后，部署指导器通过利用所接收的凭证替换标识符来修改部署清单。应用部署系统使用所修改的部署清单来部署应用，然后删除所修改的部署清单。

背景技术

“平台即服务”(通常称为“PaaS”)技术提供了一种集成解决方案，使Web开发人员或应用开发人员通常能够构建、部署和管理基于云的应用，例如，web应用或任何其他类型的联网应用的生命周期。支持云计算平台的PaaS的一个组件是由服务提供商运营和维护的网络(例如，因特网等)基础设施，在该基础设施上可以部署所开发的基于云的应用。网络基础设施包括硬件资源，例如磁盘或网络，以及软件资源，例如数据库程序。通过提供运行基于云的应用所需的硬件和软件资源，云计算平台使开发人员能够专注于应用本身的开发，而不是应用执行的网络基础设施。因此，使用PaaS的开发人员可以将配置和扩展资源的后勤(例如，处理能力、设施、功率和带宽、数据存储、数据库访问)留给云计算平台。其中一些资源可能是需要认证才能访问的安全资源。不同的资源可能需要不同的认证技术和不同的凭证。

发明内容

描述了用于凭证管理的系统、方法和计算机程序产品。应用部署系统接收用于在云计算环境中部署应用的部署清单。应用部署系统的部署指导器确定应用要使用的资源。部署指导器从部署清单确定用于访问资源的凭证的标识符，例如名称。部署指导器从应用部署系统的凭证管理器请求凭证。收到凭证后，部署指导器通过利用所接收的凭证替换标识符来修改部署清单。应用部署系统使用修改的部署清单部署应用，然后删除所修改的部署清单。

通常，本说明书中描述的主题的一个创新方面可以体现为包括凭证管理器和部署指导器的应用部署系统。凭证管理器包括被编程为执行机密管理操作的一个或多个计算机。机密管理操作包括从第一用户设备接收机密，机密包括机密名称、机密类型、机密范围和机密值；以及将机密值存储在对应于机密类型的机密数据库中。机密值包括一个或多个凭证、一个或多个证书，或一个或多个安全密钥。部署指导器包括被编程以执行应用部署操作的一个或多个计算机。应用部署操作包括从第二用户设备接收用于在基于云的计算平台上部署应用的部署清单。第二用户设备可以与第一用户设备相同，或不同于第一用户设备。应用部署操作包括从部署清单中识别机密范围和到凭证管理器的链接，以及从部署清单中识别机密类型和机密名称，机密类型和机密名称与基于云的计算平台的资源相关联。应用部署操作包括根据链接，向凭证管理器提交获取机密请求，获取机密请求包括机密范围、机密类型和机密名称，以及从凭证管理器接收对应于机密范围中的机密名称的机密值，机密值由凭证管理器从对应于机密类型的机密数据库中检索。应用部署操作包括修改部署清单，包括利用从凭证管理器接收的机密值替换部署清单中的机密名称。应用部署操作包括根据所修改的部署清单，在基于云的计算平台上部署应用，包括允许应用使用机密值访问基于云的计算平台的资源。

通常，本说明书中描述的主题的一个创新方面可以体现为包括接收用于在云计算平台中部署应用的部署清单的动作的方法。部署清单指定用于配置云计算平台的资源以服务于应用的参数。该方法包括从参数中识别与资源相关联的一个或多个机密名称；从凭证管理器请求一个或多个机密名称中的每一个的相应的机密值以及修改部署清单。修改部署清单包括利用从凭证管理器接收的对应的机密值替换部署清单中的一个或多个机密名称中的每一个。该方法包括使用所修改的部署清单，为应用配置资源，包括创建供应用消费的服务实例并且使用一个或多个机密值，将资源绑定到服务实例。

该方面的其他实施例包括对应的计算机系统、装置和记录在一个或多个计算机存储设备上的计算机程序，其分别被配置为执行方法的动作。一个或多个计算机的系统可以被配置为通过在系统上安装软件、固件、硬件或它们的组合来执行特定操作或动作，软件、固件、硬件或它们的组合的操作使系统执行上述动作。一个或多个计算机程序可以被配置为通过包括指令来执行特定操作或动作，指令当由数据处理装置执行时，使装置执行上述动作。