
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 12 (filtered medium)">

<base href="x-msg://58/"><style><!--

/* Font Definitions */

@font-face

        {font-family:Helvetica;

        panose-1:2 11 6 4 2 2 2 2 2 4;}

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.apple-style-span

        {mso-style-name:apple-style-span;}

span.apple-converted-space

        {mso-style-name:apple-converted-space;}

span.EmailStyle19

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple" style="word-wrap: break-word;-webkit-nbsp-mode: space;-webkit-line-break: after-white-space">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I agree Jorge.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I view this as the client making the request ‘ the requestor tenant’ which is in the headers as part of the Keystone middleware injection. This is not the tenant_id

 in the URI. This is who is making the request.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">The resource being accessed is defined within the URI, as all good REST APIs. If resources are organized by tenant then tenant_id is part of the URI. Not all

 resources are organized by tenants but if they are it makes good sense to have this in the URI.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">If resources are organized by tenant and we decide to not have this in the URI, then certain assumptions have to be made like the requestor’s tenant_id in the

 header is also the tenant resource.  These assumptions may be problematic.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Peter.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Jorge Williams [mailto:jorge.williams@rackspace.com]

<br>

<b>Sent:</b> Thursday, November 01, 2012 1:16 PM<br>

<b>To:</b> OpenStack Development Mailing List<br>

<b>Subject:</b> Re: [openstack-dev] Specifying Tenant-ID in Openstack REST API URLs and Quatum 2.0 APIs<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">You're right in that there exists an association between a request and a tenant -- but that's not the defining relationship. A tenant is at it's core simply a container that holds a collection of resources.  That's why it makes sense to

 be in a URI.  The idea is to allow a way of organizing resources  as a means of providing an abstraction between the OpenStack implementation and someone who is operating an OpenStack deployment (the operator).<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">An operator may map one or more tenants to a project, an account, an identity, a customer, whatever.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Now a request may have permission to access one or more tenants -- and I think that's where a lot of the confusion lies.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I did a writeup for this a bit back you can find it here: <a href="https://github.com/RackerWilliams/multi-tenant-accounting/blob/master/tenants.pdf">https://github.com/RackerWilliams/multi-tenant-accounting/blob/master/tenants.pdf</a><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">-jOrGe W.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">On Nov 1, 2012, at 2:47 PM, Gabriel Hurley wrote:<o:p></o:p></p>

</div>

<p class="MsoNormal"><br>

<br>

<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">IMHO the current tenant (or theoretically tenants) associated with a request is contextual to the request, not an inherent part of the RESTful endpoint. That’s

 a complicated way of saying that I don’t think tenant IDs belong in any URL except Keystone’s /tenants/ urlspace. There are lots of valid ways to pass the tenant ID in a contextual manner, a query parameter being one, a header being another. Putting it into

 the URL path only complicates things and (in some cases currently) is redundant.</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

<div style="margin-left:27.0pt">

<p class="MsoNormal" style="text-indent:-.25in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">-</span><span style="font-size:7.0pt;color:#1F497D">         <span class="apple-converted-space"> </span></span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Gabriel</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

<div style="border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt;border-width:initial;border-color:initial">

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in;border-width:initial;border-color:initial">

<div>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span class="apple-converted-space"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> </span></span><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">heckj

 [mailto:heckj@mac.com]<span class="apple-converted-space"> </span><br>

<b>Sent:</b><span class="apple-converted-space"> </span>Thursday, November 01, 2012 12:29 PM<br>

<b>To:</b><span class="apple-converted-space"> </span>OpenStack Development Mailing List<br>

<b>Subject:</b><span class="apple-converted-space"> </span>Re: [openstack-dev] Specifying Tenant-ID in Openstack REST API URLs and Quatum 2.0 APIs</span><o:p></o:p></p>

</div>

</div>

</div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Hey Peter,<o:p></o:p></p>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">I'm not sure that's an entirely safe assumption. Although that's totally what we're doing today, and in most implementations the authorization is scoped to a single tenant, there's a request outstanding to allow a token to be applicable

 to more than one tenant, which would leave this kind of request in a very indeterminate status if you're relying on Keystone.<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">I'm not terribly in favor of having a token scoped so widely - but it's technically possible to have a token that's scoped more broadly with the V2 API. V3 was attempting to lock that down to mandate a bit of interoperability, but so far

 there's a far bit of push back on wanting that open.<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Needless to say, your feedback on that topic would be nice as it related to the Quantum 2.0 API.<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">For this specific purpose, I would encourage the API to require a specific tenant_id - either in the URL, or as part of the posted query parameter elements if it's tied to the resource in question (i.e CRUD operations that are specific

 to a tenant)<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">-joe<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

<div>

<div>

<div>

<p class="MsoNormal">On Nov 1, 2012, at 12:15 PM, "Mellquist, Peter" <<a href="mailto:peter.mellquist@hp.com">peter.mellquist@hp.com</a>> wrote:<o:p></o:p></p>

</div>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">The majority of the existing Openstack APIs allow specifying the tenant_id as part of the REST resource URL where resources are structured around tenants.  For example within

 nova APIs, these API calls are prefixed with /v2/{tenant_id} / ...  <a href="http://www.api.openstack.org/"><span style="color:purple">www.api.openstack.org</span></a></span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Quantum API 2.0 specifies a new way for APIs to reference tenant based resources. As part of the transition from the Quantum API 1.0 to 2.0 , the tenant_id as part of the

 resource URL has been dropped and instead the requested resource is assumed to be the Keystone derived tenant_id.  This shortens the Quantum API 2.0 calls to exclude {tenant_id} as part of the URL. For example, for LBaaS with Quantum 2.0 we would just have</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">/v1.0/…</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">For cross tenant access, when roles allow so, Quantum 2.0 allows specifying tenant_id as a query parameter, ‘? tenant_id=XXX.’</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Does the Quantum 2.0 API work in terms of handling multi-tenant resource access? YES</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Is the Quantum 2.0 API consistent with existing Openstack APIs in regard to tenant resource access? NO</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Openstack API Community Questions:</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Does consistency across Openstack APIs in regard to tenant based resource access matter?</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Does this impact developers, direct REST usage or those using language bindings / libraries?</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Thank You,</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Peter Mellquist</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Hewlett Packard Company</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal"><span style="font-size:13.5pt;font-family:"Helvetica","sans-serif"">_______________________________________________<br>

OpenStack-dev mailing list<br>

<a href="mailto:OpenStack-dev@lists.openstack.org"><span style="color:purple">OpenStack-dev@lists.openstack.org</span></a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev"><span style="color:purple">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</span></a></span><o:p></o:p></p>

</div>

</div>

</blockquote>

</div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

</div>

<p class="MsoNormal"><span style="font-size:13.5pt;font-family:"Helvetica","sans-serif"">_______________________________________________<br>

OpenStack-dev mailing list<br>

<a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</body>

</html>