The first role is colloquially referred to as a "global role" / "tenant-less role", which is a use case that our API supports (hence the example) but that keystone does not implement today (it requires a user-tenant pair in order to grant a role).<br>
<div class="gmail_extra"><div><br></div>-Dolph<br>
<br><br><div class="gmail_quote">On Wed, Nov 14, 2012 at 1:32 PM, David Chadwick <span dir="ltr"><<a href="mailto:d.w.chadwick@kent.ac.uk" target="_blank">d.w.chadwick@kent.ac.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
What is the difference between these two roles? One contains a tenant, the other does not.<br>
<br>
<user id="u123" name="jqsmith"><br>
        <roles><br>
            <role id="100" name="compute:admin"/><br>
            <role id="101" name="object-store:admin" tenantId="t1000"/><br>
        </roles><br>
    </user><br>
<br>
regards<br>
<br>
David<br>
<br>
______________________________<u></u>_________________<br>
OpenStack-dev mailing list<br>
<a href="mailto:OpenStack-dev@lists.openstack.org" target="_blank">OpenStack-dev@lists.openstack.<u></u>org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/<u></u>cgi-bin/mailman/listinfo/<u></u>openstack-dev</a><br>
</blockquote></div><br></div>