<div dir="ltr"><div>Currently, the API user is allowed to not include a domain_id in a request to create new users or create new projects. The assumption is that the service will assign those resources to the creating user's domain.<br>
</div><div><br></div><div>In a recent keystone meeting, I believe we did have a brief discussion about applying such a behavior to other calls. Currently, the two calls you listed are different (the first returns all users in the system regardless of domain). Further, if the second call was going to default to a domain, I would hope it would default to the requesting user's domain, not the default domain.</div>
<div><br></div><div>That said, with the introduction of domain-specific role grants[1] and domain-scoped tokens[2], we have a third option: listing users in the domain for which your token token is authorized, regardless of whether you specify a domain in the query string. I don't think we would have a way to list all users in the system at that point.</div>
<div><br></div><div style>All of this could/should equally apply to projects as well.</div><div><br></div><div>[1]: <a href="https://review.openstack.org/#/c/18706/">https://review.openstack.org/#/c/18706/</a><br></div><div>
[2]: <a href="https://review.openstack.org/#/c/18770/">https://review.openstack.org/#/c/18770/</a></div><div><br></div></div><div class="gmail_extra"><br clear="all"><div><div><br></div>-Dolph</div>
<br><br><div class="gmail_quote">On Wed, Jan 16, 2013 at 9:47 AM, Jay Pipes <span dir="ltr"><<a href="mailto:jaypipes@gmail.com" target="_blank">jaypipes@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5">On 01/15/2013 03:42 PM, Dolph Mathews wrote:<br>
> Per today's keystone meeting, I wrote a blueprint for the default domain<br>
> solution, in order to provide an assumed scope for v2 API operations<br>
> (which is not domain-aware), including authentication and validation, in<br>
> the context of a deployment with v3 API users (which are domain-aware).<br>
><br>
>   <a href="https://blueprints.launchpad.net/keystone/+spec/default-domain" target="_blank">https://blueprints.launchpad.net/keystone/+spec/default-domain</a><br>
<br>
</div></div>Hi Dolph. In the blueprint I see this:<br>
<br>
The following pairs of calls would then be equivalent:<br>
<br>
  GET /v2.0/users<br>
  GET /v3/users?domain_id={default_domain_id}<br>
<br>
  GET /v2.0/tenants<br>
  GET /v3/projects?domain_id={default_domain_id}<br>
<br>
  POST /v2.0/tokens {'auth': {'projectName': 'foobar'}}<br>
  POST /v3/auth {'auth': {'projects': [{'name': 'foobar', 'domain_id':<br>
'default'}]}<br>
<br>
In the v3 API, can the user also leave off the domain_id? In other<br>
words, are these two equivalent?<br>
<br>
  GET /v3/users<br>
  GET /v3/users?domain_id={default_domain_id}<br>
<br>
Cheers,<br>
-jay<br>
<br>
_______________________________________________<br>
OpenStack-dev mailing list<br>
<a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</blockquote></div><br></div>