<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 12 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.5pt;
        font-family:Consolas;}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:Consolas;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:112752767;
        mso-list-type:hybrid;
        mso-list-template-ids:1601466490 67698703 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;}
@list l0:level1
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l1
        {mso-list-id:465583718;
        mso-list-type:hybrid;
        mso-list-template-ids:1892468728 67698703 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;}
@list l1:level1
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l2
        {mso-list-id:855773304;
        mso-list-type:hybrid;
        mso-list-template-ids:1601466490 67698703 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;}
@list l2:level1
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l3
        {mso-list-id:905602437;
        mso-list-type:hybrid;
        mso-list-template-ids:376980732 67698703 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;}
@list l3:level1
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l4
        {mso-list-id:1827820620;
        mso-list-type:hybrid;
        mso-list-template-ids:-284802120 889079170 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;}
@list l4:level1
        {mso-level-start-at:3;
        mso-level-text:%1;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        margin-left:.75in;
        text-indent:-.25in;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoPlainText">Hi Henry,<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">I am totally agree with David Chadwick that roleDefs itself should have enough info so that underline system (role assignment) can make some decision whether roleDef is inheritable or not. Below is my proposal which is extensible and
 pretty much aligned with David’s thoughts.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">I want to introduce wild card character (may be *) to handle inheritance behavior.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<table class="MsoTableGrid" border="1" cellspacing="0" cellpadding="0" style="border-collapse:collapse;border:none">
<tbody>
<tr>
<td width="53" valign="top" style="width:40.1pt;border:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
<td width="372" valign="top" style="width:279.1pt;border:solid windowtext 1.0pt;border-left:none;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText"><b>Type<o:p></o:p></b></p>
</td>
<td width="264" valign="top" style="width:197.9pt;border:solid windowtext 1.0pt;border-left:none;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText"><b>          RoleDef structure <o:p></o:p></b></p>
</td>
<td width="438" valign="top" style="width:328.5pt;border:solid windowtext 1.0pt;border-left:none;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText"><b>Description<o:p></o:p></b></p>
</td>
<td width="630" valign="top" style="width:472.5pt;border:solid windowtext 1.0pt;border-left:none;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText"><b>Role Assignment examples<o:p></o:p></b></p>
</td>
</tr>
<tr>
<td width="53" valign="top" style="width:40.1pt;border:solid windowtext 1.0pt;border-top:none;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">1.<o:p></o:p></p>
</td>
<td width="372" valign="top" style="width:279.1pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">Inheritable non-project roleDef<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
<td width="264" valign="top" style="width:197.9pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">{<o:p></o:p></p>
<p class="MsoPlainText">  "id": "1111",<o:p></o:p></p>
<p class="MsoPlainText">  "links": {1111},<o:p></o:p></p>
<p class="MsoPlainText">  "name": "domain-admin",<o:p></o:p></p>
<p class="MsoPlainText">  "domainId": "*", <o:p></o:p></p>
<p class="MsoPlainText">  <span style="background:yellow;mso-highlight:yellow">"projectId": ""</span><o:p></o:p></p>
<p class="MsoPlainText">}<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
<td width="438" valign="top" style="width:328.5pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">domainId=* which means this roleDef is inheritable to any domain.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><span style="background:yellow;mso-highlight:yellow">projectId=””</span> means it is not a project specific roleDef and cannot be used for role assignment where project is involved.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">E.g. domain-admin or domain-user <o:p></o:p></p>
</td>
<td width="630" valign="top" style="width:472.5pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">1. An inherited role assignment for a cloud provider’s user (basically a cloudadmin) wd look as below and says “cloud-admin-userId has domain-admin role in all the domains”<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">{<o:p></o:p></p>
<p class="MsoPlainText">   "roleId": "1111",<o:p></o:p></p>
<p class="MsoPlainText">   "domainId": "*", <i><<< Inherited by all domains</i><o:p></o:p></p>
<p class="MsoPlainText">   "subjectId": "cloud-admin-userId from cloud providers domains" << it can be a groupId<o:p></o:p></p>
<p class="MsoPlainText">}    <o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">2. Below is an example of non-inheritance role assignment, which says “userId from domain XXXX has role domain-admin in domain xxxx”   <o:p></o:p></p>
<p class="MsoPlainText">{<o:p></o:p></p>
<p class="MsoPlainText">   "roleId": "1111",<o:p></o:p></p>
<p class="MsoPlainText">   "domainId": "XXXX", <<< (Concrete domain binding)<o:p></o:p></p>
<p class="MsoPlainText">   "subjectId": "userId from <span style="background:yellow;mso-highlight:yellow">
XXXX</span> domain" << it can be a groupId<o:p></o:p></p>
<p class="MsoPlainText">}    <o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">3. This approach can be extensible to cross domain role assignments.<o:p></o:p></p>
<p class="MsoPlainText">“user from YYYY domain has domain-admin role in domain XXXX”<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">{<o:p></o:p></p>
<p class="MsoPlainText">   "roleId": "1111",<o:p></o:p></p>
<p class="MsoPlainText">   "domainId": "XXXX", <o:p></o:p></p>
<p class="MsoPlainText">   "subjectId": "userId from <span style="background:red;mso-highlight:red">
YYYY</span> domain" << it can be a groupId<o:p></o:p></p>
<p class="MsoPlainText">}    <o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
</tr>
<tr>
<td width="53" valign="top" style="width:40.1pt;border:solid windowtext 1.0pt;border-top:none;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">2.<o:p></o:p></p>
</td>
<td width="372" valign="top" style="width:279.1pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">Non-inheritable non-project role<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
<td width="264" valign="top" style="width:197.9pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">{<o:p></o:p></p>
<p class="MsoPlainText">   "id": "2222",<o:p></o:p></p>
<p class="MsoPlainText">   "links": {2222},<o:p></o:p></p>
<p class="MsoPlainText">   "name": "XXXX-domain-admin",<o:p></o:p></p>
<p class="MsoPlainText">   "domainId": "XXXX", <o:p></o:p></p>
<p class="MsoPlainText">   <span style="background:yellow;mso-highlight:yellow">"projectId": ""</span><o:p></o:p></p>
<p class="MsoPlainText">}<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
<td width="438" valign="top" style="width:328.5pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">In case of public cloud environment we have to provide APIs to customer so that they can define *IAM* roles and this is to support that use case.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">This roleDef is bind to "domainId": "XXXX" which means this roleDef should be used for role assignment in XXXX domain.
<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><span style="background:yellow;mso-highlight:yellow">projectId=””</span> means it is not a project specific roleDef and cannot be used for role assignment where project is involved.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><b><span style="background:yellow;mso-highlight:yellow">Note: this may be not a use case of private cloud</span>
<o:p></o:p></b></p>
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
<td width="630" valign="top" style="width:472.5pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText" style="margin-left:.5in;text-indent:-.25in;mso-list:l1 level1 lfo5">
<![if !supportLists]><span style="mso-list:Ignore">1.<span style="font:7.0pt "Times New Roman""> 
</span></span><![endif]>Non- Cross domain role assignments <o:p></o:p></p>
<p class="MsoPlainText">{<o:p></o:p></p>
<p class="MsoPlainText">   "roleId": "2222",<o:p></o:p></p>
<p class="MsoPlainText">   "domainId": "XXXX", <<<< (* or YYYY is not possible)<o:p></o:p></p>
<p class="MsoPlainText">   "subjectId": "userId from <span style="background:yellow;mso-highlight:yellow">
XXXX</span> domain" << it can be a groupId<o:p></o:p></p>
<p class="MsoPlainText">}    <o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">2. Cross domain role assignments are even possible<o:p></o:p></p>
<p class="MsoPlainText">{<o:p></o:p></p>
<p class="MsoPlainText">   "roleId": "2222",<o:p></o:p></p>
<p class="MsoPlainText">   "domainId": "XXXX", <<<< (* or YYYY is not possible)<o:p></o:p></p>
<p class="MsoPlainText">   "subjectId": "userId from <span style="background:red;mso-highlight:red">
YYYY</span> domain" << it can be a groupId<o:p></o:p></p>
<p class="MsoPlainText">}    <o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
</tr>
<tr>
<td width="53" valign="top" style="width:40.1pt;border:solid windowtext 1.0pt;border-top:none;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">3.<o:p></o:p></p>
</td>
<td width="372" valign="top" style="width:279.1pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">Inheritable project roleDef<o:p></o:p></p>
</td>
<td width="264" valign="top" style="width:197.9pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">{<o:p></o:p></p>
<p class="MsoPlainText">  "id": "3333",<o:p></o:p></p>
<p class="MsoPlainText">  "links": {3333},<o:p></o:p></p>
<p class="MsoPlainText">  "name": "nova-net-admin",<o:p></o:p></p>
<p class="MsoPlainText">  "domainId": "*", <o:p></o:p></p>
<p class="MsoPlainText">  <span style="background:lime;mso-highlight:lime">"projectId": "*"</span><o:p></o:p></p>
<p class="MsoPlainText">}<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
<td width="438" valign="top" style="width:328.5pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText"><b>"domainId": "*" and  "projectId": "*" means this roleDef can be used for inherited role assignment but with a context of (1 or *) projects.<o:p></o:p></b></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">All the Open Stack service role can fall under this category e.g. Nova-admin, swift-admin etc…<o:p></o:p></p>
</td>
<td width="630" valign="top" style="width:472.5pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText" style="margin-left:.5in;text-indent:-.25in;mso-list:l0 level1 lfo2">
<![if !supportLists]><span style="mso-list:Ignore">1.<span style="font:7.0pt "Times New Roman""> 
</span></span><![endif]>Cloud provider want to maintain “nova-net-admin” on all customer domains and on all projects. (Roles inherited by all projects in all domains)<o:p></o:p></p>
<p class="MsoPlainText">{<o:p></o:p></p>
<p class="MsoPlainText">   "roleId": "3333",<o:p></o:p></p>
<p class="MsoPlainText">   "domainId": "*", <o:p></o:p></p>
<p class="MsoPlainText">   "projectId": "*", <<< (projectId cannot be concrete if domain is *)<o:p></o:p></p>
<p class="MsoPlainText">   "subjectId": "cloud-admin-userId" << it can be a groupId<o:p></o:p></p>
<p class="MsoPlainText">}    <o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText" style="margin-left:.5in;text-indent:-.25in;mso-list:l0 level1 lfo2">
<![if !supportLists]><span style="mso-list:Ignore">2.<span style="font:7.0pt "Times New Roman""> 
</span></span><![endif]>Below is the example of inheritance with in a domain, which says “userId from XXXX domain has nova-net-admin role on all the projects”
<o:p></o:p></p>
<p class="MsoPlainText">{<o:p></o:p></p>
<p class="MsoPlainText">   "roleId": "3333",<o:p></o:p></p>
<p class="MsoPlainText">   "domainId": "XXXX", <o:p></o:p></p>
<p class="MsoPlainText">   "projectId": "*", <o:p></o:p></p>
<p class="MsoPlainText">   "subjectId": "userId from XXXX domain" << it can be a groupId<o:p></o:p></p>
<p class="MsoPlainText">}    <o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText" style="margin-left:.75in;text-indent:-.25in;mso-list:l4 level1 lfo4">
<![if !supportLists]><span style="mso-list:Ignore">3<span style="font:7.0pt "Times New Roman"">   
</span></span><![endif]>Below is an example of concrete project binding with in a domain, which says “userId from XXXX domain has nova-net-admin role on Proj1 projects in domain XXXX”
<o:p></o:p></p>
<p class="MsoPlainText">{<o:p></o:p></p>
<p class="MsoPlainText">   "roleId": "3333",<o:p></o:p></p>
<p class="MsoPlainText">   "domainId": "XXXX", <o:p></o:p></p>
<p class="MsoPlainText">   "projectId": "Proj1", <o:p></o:p></p>
<p class="MsoPlainText">   "subjectId": "userId from XXXX domain" << it can be a groupId<o:p></o:p></p>
<p class="MsoPlainText">}    <o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><b><span style="background:yellow;mso-highlight:yellow">Note: this can be extensible  for cross domain role assignment</span><o:p></o:p></b></p>
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
</tr>
<tr>
<td width="53" valign="top" style="width:40.1pt;border:solid windowtext 1.0pt;border-top:none;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
<td width="372" valign="top" style="width:279.1pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
<td width="264" valign="top" style="width:197.9pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
<td width="438" valign="top" style="width:328.5pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
<td width="630" valign="top" style="width:472.5pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
</tr>
</tbody>
</table>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">If we follow this approach to address inheritance which is extensible and give least impact on the existing APIs and to the role data structure. Only thing we need is proper use of wild card to represent domain or project.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<table class="MsoTableGrid" border="1" cellspacing="0" cellpadding="0" style="border-collapse:collapse;border:none">
<tbody>
<tr style="height:3.5pt">
<td width="41" valign="top" style="width:31.1pt;border:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt;height:3.5pt">
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
<td width="684" valign="top" style="width:513.0pt;border:solid windowtext 1.0pt;border-left:none;padding:0in 5.4pt 0in 5.4pt;height:3.5pt">
<p class="MsoPlainText"><b>API usage <o:p></o:p></b></p>
</td>
<td width="684" valign="top" style="width:513.0pt;border:solid windowtext 1.0pt;border-left:none;padding:0in 5.4pt 0in 5.4pt;height:3.5pt">
<p class="MsoPlainText"><b><o:p> </o:p></b></p>
</td>
</tr>
<tr>
<td width="41" valign="top" style="width:31.1pt;border:solid windowtext 1.0pt;border-top:none;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">1<o:p></o:p></p>
</td>
<td width="684" valign="top" style="width:513.0pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">PUT /domains/*/users/user_id/roles/role_id<o:p></o:p></p>
<p class="MsoPlainText">PUT /domains/{domain_id}/users/user_id/roles/role_id<o:p></o:p></p>
</td>
<td width="684" valign="top" style="width:513.0pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
</tr>
<tr>
<td width="41" valign="top" style="width:31.1pt;border:solid windowtext 1.0pt;border-top:none;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">2<o:p></o:p></p>
</td>
<td width="684" valign="top" style="width:513.0pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">GET /domains/*/users/{user_id}/roles<o:p></o:p></p>
<p class="MsoPlainText">GET /domains/{domain_id}/users/{user_id}/roles<o:p></o:p></p>
</td>
<td width="684" valign="top" style="width:513.0pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">By default this will list all the role (inherited and bound to domain) for user_id.<o:p></o:p></p>
<p class="MsoPlainText">We can add filter to list just inherited one.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
</tr>
<tr>
<td width="41" valign="top" style="width:31.1pt;border:solid windowtext 1.0pt;border-top:none;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
<td width="684" valign="top" style="width:513.0pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
<td width="684" valign="top" style="width:513.0pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
</tr>
<tr>
<td width="41" valign="top" style="width:31.1pt;border:solid windowtext 1.0pt;border-top:none;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">3<o:p></o:p></p>
</td>
<td width="684" valign="top" style="width:513.0pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">PUT /projects/*/users/{user_id}/roles/{role_id}<o:p></o:p></p>
<p class="MsoPlainText">PUT /projects/{proj_id}/users/{user_id}/roles/{role_id}<o:p></o:p></p>
</td>
<td width="684" valign="top" style="width:513.0pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText"><o:p> </o:p></p>
</td>
</tr>
<tr>
<td width="41" valign="top" style="width:31.1pt;border:solid windowtext 1.0pt;border-top:none;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">4<o:p></o:p></p>
</td>
<td width="684" valign="top" style="width:513.0pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">GET /projects/*/users/{user_id}/roles<o:p></o:p></p>
<p class="MsoPlainText">GET /projects/{proj_id}/users/{user_id}/roles<o:p></o:p></p>
</td>
<td width="684" valign="top" style="width:513.0pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoPlainText">By default this will list all the role (inherited and bound to specific project)  for user_id.<o:p></o:p></p>
<p class="MsoPlainText">We can add filter to list just inherited one.<o:p></o:p></p>
</td>
</tr>
</tbody>
</table>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Note: Did not mentioned the group apis but that goes along with users.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Thought???<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Thanks,<o:p></o:p></p>
<p class="MsoPlainText">Arvind<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">-----Original Message-----<br>
From: David Chadwick [mailto:d.w.chadwick@kent.ac.uk] <br>
Sent: Thursday, June 06, 2013 4:49 AM<br>
To: OpenStack Development Mailing List<br>
Subject: Re: [openstack-dev] [keystone] Inherited domain roles<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Hi Henry<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">My take on this is that whether a role is automatically inheritable or
<o:p></o:p></p>
<p class="MsoPlainText">not should be an attribute of the role itself, and should be independent
<o:p></o:p></p>
<p class="MsoPlainText">of who the role is assigned to. Therefore when the role is initially
<o:p></o:p></p>
<p class="MsoPlainText">defined, it should be stated by the Keystone admin whether it is an
<o:p></o:p></p>
<p class="MsoPlainText">inherited role or not.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Role assignment is a separate issue and should not be confused with the
<o:p></o:p></p>
<p class="MsoPlainText">basic definition of the role. Role assignment should simply be a matter
<o:p></o:p></p>
<p class="MsoPlainText">of naming the subject (domain, project or user) and the role. If you
<o:p></o:p></p>
<p class="MsoPlainText">dont want the role to be inherited then use a non-inheritable role.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">The problem with all the APIs below is that they conflate role
<o:p></o:p></p>
<p class="MsoPlainText">definition and role assignment together in the same API call. There
<o:p></o:p></p>
<p class="MsoPlainText">should be no need to have user_ids in the definition of a role.
<o:p></o:p></p>
<p class="MsoPlainText">Similarly there should be no mention of inherited in the assignment of a
<o:p></o:p></p>
<p class="MsoPlainText">role to a user.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">regards<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">David<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">On 05/06/2013 15:31, Henry Nash wrote:<o:p></o:p></p>
<p class="MsoPlainText">> Hi<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> As per the discussion during the keystone IRC meeting yesterday, I have been reviewing the proposals for this functionality.  There have been two objections to the current proposal (which can be found here: https://review.openstack.org/#/c/29781/10),
 which are:<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> 1) The api changes should allow for a logical, generic future extension for support of inherited roles across all domains etc., should we chose to go that route<o:p></o:p></p>
<p class="MsoPlainText">> 2) The use of a single api to list the various grants, filtered by a query string if necessary.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> My proposal for handling these two objections is as follows:<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> 1) API extensions.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> There are several aspects of inherited roles that we are trying to cement, which are:<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> a) The are dynamic - i.e. this isn't a case of a short hand for saying add this role to all the current projects in the domain - rather it is a role assignment that is attached to the domain but is added to the effective roles of any
 project (now and in the future) that exists in this domain<o:p></o:p></p>
<p class="MsoPlainText">> b) The are separate from a role that is on the domain itself - i.e.  we need to ensure that we keep separate inherited and non-inherited roles.<o:p></o:p></p>
<p class="MsoPlainText">> c) Maintain the philosophy that If you can create a role assignment with a given API, there should be an equivalent to read it back and delete it (i.e. you mustn't have the case where, for instance you can list a grant, but can't delete
 it at the conceptual level)<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> The current proposal had been to do this by adding an "inherited" component of the url for create, check and delete grants to a domain, e.g.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> PUT /domains/{domain_id}/users/{user_id}/roles/{role_id}<o:p></o:p></p>
<p class="MsoPlainText">> PUT /domains/{domain_id}/users/{user_id}/roles/{role_id}/inherited<o:p></o:p></p>
<p class="MsoPlainText">> GET /domains/{domain_id}/users/{user_id}/roles/{role_id}<o:p></o:p></p>
<p class="MsoPlainText">> GET /domains/{domain_id}/users/{user_id}/roles/{role_id}/inherited<o:p></o:p></p>
<p class="MsoPlainText">> DELETE /domains/{domain_id}/users/{user_id}/roles/{role_id}<o:p></o:p></p>
<p class="MsoPlainText">> DELETE /domains/{domain_id}/users/{user_id}/roles/{role_id}/inherited<o:p></o:p></p>
<p class="MsoPlainText">> etc.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> A counter proposal has been made to expand this, along this lines of:<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Role applicable to all projects within a domain<o:p></o:p></p>
<p class="MsoPlainText">> PUT /domains/{domain_id}/users/{user_id}/roles/{role_id}/projects<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Roles inherited by all projects in all domains<o:p></o:p></p>
<p class="MsoPlainText">> PUT /usrs/{user_id}/roles/{role_id}/projects<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Roles inherited by all domains, at the domain level<o:p></o:p></p>
<p class="MsoPlainText">> PUT /usrs/{user_id}/roles/{role_id}/domains<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> While I understand the desire to have extensibility if we wish to provide more "global-ness" of roles, I think the above proposal is less clear about whether these assignments are dynamic (see item a) above).  How about this as a counter
 proposal:<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Role applicable inherited by all projects within a domain (this is the same as the current proposal)<o:p></o:p></p>
<p class="MsoPlainText">> PUT  /domains/{domain_id}/users/{user_id}/roles/{role_id}/inherited<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Roles inherited by all projects in all domains - if we were to ever support this (not part of the current proposal)<o:p></o:p></p>
<p class="MsoPlainText">> PUT  /domains/users/{user_id}/roles/{role_id}/inherited<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Roles inherited by all domains, at the domain level - if we were to ever support this (not part of the current proposal)<o:p></o:p></p>
<p class="MsoPlainText">> PUT  /domains/users/{user_id}/roles/{role_id}/inherited<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> To go along with the above, you would have the respective GET, CHECK & DELETE versions of those apis.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> 2) Single vs multiple apis<o:p></o:p></p>
<p class="MsoPlainText">> I think this comment is actually misplaced in the gerrit review, and is intended to directed at the api extensions I proposed to allow the list of a users "effective" roles on a project (i.e. directly assigned, those by virtue of group
 membership and inheritance from the parent domain).  For this, I proposed adding an optional "effective" query parameter to each of:<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> List user's roles on project: `GET /projects/{project_id}/users/{user_id}/roles<o:p></o:p></p>
<p class="MsoPlainText">> List group's roles on project: `GET /projects/{project_id}/groups/{group_id}/roles<o:p></o:p></p>
<p class="MsoPlainText">> Check user's role on project: `GET /projects/{project_id}/users/{user_id}/role/{role_id}<o:p></o:p></p>
<p class="MsoPlainText">> Check group's roles on project: `GET /projects/{project_id}/groups/{group_id}/role/{role_id}<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> e.g. GET /projects/{project_id}/users/{user_id}/roles?effective<o:p></o:p></p>
<p class="MsoPlainText">> ...would get you the effective roles the user has on that project, as opposed to only the directly assigned ones if you issue the call without the "effective" query parameter.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Dolph and I had already been discussing that the existing v3 api of:<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> GET /users/{user_id}/roles<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> ...which is meant to return all the role assignments for a user, but is in fact broken in the current Grizzly code (it always returns an error).  So I agree with the proposal that we should scrap the "effective" query parameter for
 the specific list/check calls for the project - and instead properly implement the "get all assignments for a user" call.  I propose the amended spec for this call is:<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> #### List a user's effective role assignments: `GET /users/{user_id}/role-assignments`<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> query_string: page (optional)<o:p></o:p></p>
<p class="MsoPlainText">> query_string: per_page (optional, default 30)<o:p></o:p></p>
<p class="MsoPlainText">> query_string: id, project_id, domain_id<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Response:<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">>      Status: 200 OK<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">>      [<o:p></o:p></p>
<p class="MsoPlainText">>          {<o:p></o:p></p>
<p class="MsoPlainText">>              "id": "--role-id--",<o:p></o:p></p>
<p class="MsoPlainText">>              "name": "--role-name--",<o:p></o:p></p>
<p class="MsoPlainText">>              "project_id": "--project-id--",<o:p></o:p></p>
<p class="MsoPlainText">>              "source":<o:p></o:p></p>
<p class="MsoPlainText">>              {<o:p></o:p></p>
<p class="MsoPlainText">>                  "direct": true,  (optional)<o:p></o:p></p>
<p class="MsoPlainText">>                  "domain_inherited: "--domain-id--", (optional)<o:p></o:p></p>
<p class="MsoPlainText">>                  "group_membership: "--group-id--" (optional)<o:p></o:p></p>
<p class="MsoPlainText">>              }<o:p></o:p></p>
<p class="MsoPlainText">>          },<o:p></o:p></p>
<p class="MsoPlainText">>          {<o:p></o:p></p>
<p class="MsoPlainText">>              "domain_id": "--domain-id--",<o:p></o:p></p>
<p class="MsoPlainText">>              "id": "--role-id--",<o:p></o:p></p>
<p class="MsoPlainText">>              "name": "--role-name--",<o:p></o:p></p>
<p class="MsoPlainText">>              "source":<o:p></o:p></p>
<p class="MsoPlainText">>              {<o:p></o:p></p>
<p class="MsoPlainText">>                  "direct": true, (optional)<o:p></o:p></p>
<p class="MsoPlainText">>                  "group_membership: "--group-id--" (optional)<o:p></o:p></p>
<p class="MsoPlainText">>              }<o:p></o:p></p>
<p class="MsoPlainText">>          }<o:p></o:p></p>
<p class="MsoPlainText">>      ]<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> The "source" structure must have at least one of the values given above (and could have more than one, e.g. both domain_inherited and global_membership for a project where the role is due to a group role that is inherited from the
 domain).  If were even to support global roles across all domains, then we would extend the "source structure" accordingly.   I'm open to other options for the above format. however, so comments welcome.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Does this sounds like a reasonable plan overall?<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Henry<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> _______________________________________________<o:p></o:p></p>
<p class="MsoPlainText">> OpenStack-dev mailing list<o:p></o:p></p>
<p class="MsoPlainText">> OpenStack-dev@lists.openstack.org<o:p></o:p></p>
<p class="MsoPlainText">> http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">_______________________________________________<o:p></o:p></p>
<p class="MsoPlainText">OpenStack-dev mailing list<o:p></o:p></p>
<p class="MsoPlainText">OpenStack-dev@lists.openstack.org<o:p></o:p></p>
<p class="MsoPlainText">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev<o:p></o:p></p>
</div>
</body>
</html>