<div dir="ltr"><br><div class="gmail_extra"><div class="gmail_quote">On Fri, Jun 14, 2013 at 9:45 AM, David Chadwick <span dir="ltr"><<a href="mailto:d.w.chadwick@kent.ac.uk" target="_blank">d.w.chadwick@kent.ac.uk</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

2. Step 1b. How does the delegate know which role to request? This is unintuitive. A delegator (rather than delegate) knows the role he wants to delegate. One would normally expect the delegator to request Keystone to delegate this role to the named delegate, rather than the delegate asking for a role to be delegated to it, since it requires an out of band communications between the delegator and delegate to take place before the delegation, in which the delegator tells the delegate its un/pw and the role it should ask for. This seems to be a rather contrived exchange of messages.<br>
</blockquote><div><br></div><div>Now that the OAuth implementation has merged, I came back to this conversation to check that everything was addressed... this issue was definitely not!</div><div><br></div><div>I'd suggest revising the spec to delete the consumer's requested_role_ids in favor of the delegator specifying the roles to be delegated on the requested project ID.</div>
<div><br></div><div>I opened a bug for tracking- <a href="https://bugs.launchpad.net/keystone/+bug/1216408">https://bugs.launchpad.net/keystone/+bug/1216408</a></div></div></div></div>