<font size=2 face="sans-serif">I'd like to request an exemption for the
following to go into the Kilo release. </font>
<br>
<br><font size=2 face="sans-serif">This work is crucial for:</font>
<br><font size=2 face="sans-serif">-  Keystone to Keystone communication.
An ECP wrapped SAML assertion will make it much easier for consumers and
clients to use the K2K feature in Keystone. Currently, a client must take
the generated SAML response and must prepare the ECP envelope themselves.
This should be handled by Keystone, and not the clients. The client should
be able to ask for the ECP wrapped assertion and hand it off to another
Keystone.</font>
<br>
<br><font size=2 face="sans-serif">Why this needs an FFE?</font>
<br><font size=2 face="sans-serif">- To properly created an ECP wrapped
a SAML assertion, a relay state property must be known, (as it's used to
compute a value in an ECP specific field). This depends on how the service
provider has their mod_shib configured. We will need to add a new property
to the keystone resource 'service provider' - the spec change is here:
</font><a href=https://review.openstack.org/#/c/166086/><font size=2 color=blue face="sans-serif">https://review.openstack.org/#/c/166086/</font></a>
<br>
<br><font size=2 face="sans-serif">Status of the work:</font>
<br><font size=2 face="sans-serif">- The patches necessary for this feature
already and split into two patches. 1) To add a new relay_state_prefix
property to the service provider resource: </font><a href=https://review.openstack.org/#/c/166078/><font size=2 color=blue face="sans-serif">https://review.openstack.org/#/c/166078/</font></a><font size=2 face="sans-serif">
and 2) to actually use this new property in order to generate the ECP assertion:
</font><a href=https://review.openstack.org/#/c/162866/><font size=2 color=blue face="sans-serif">https://review.openstack.org/#/c/162866/</font></a>
<br>
<br><font size=2 face="sans-serif">Thanks,<br>
<br>
Steve Martinelli<br>
OpenStack Keystone Core</font>