<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 6 August 2015 at 10:02, David Chadwick <span dir="ltr"><<a href="mailto:d.w.chadwick@kent.ac.uk" target="_blank">d.w.chadwick@kent.ac.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br></span>this is a value judgement that admins take. I think we should allow this<br>
to be configurable, by either improving the policy engine to allow a<br>
public access rule (coarse grained), or adding a public/private flag to<br>
each configured IdP (fine grained)<br></blockquote><div><br></div><div>Perhaps an idea which could evolve this and keep the settings in keystone instead of splitting them between two projects:</div><div><br></div><div>1. Have the list of trusted dashboards be set per IDP - this would allow that dashboard to list that IDP.</div><div>2. If an IDP does not have any trusted dashboards listed, then assume that it's public and fall back to the defaults set in keystone.conf</div><div>3. Also enable the policies suggested by David above in order to cover API security needs. Perhaps there needs to be some other sort of way of doing fine-grained protection of information here?</div><div><br></div><div>This would mean that Coke's dashboard would not be able to list Pepsi's IDP at all.</div><div><br></div><div>The trouble with allowing just a public flag on the IDP list is that someone in Coke could still type other letters and see the list of other providers, including Pepsi. Just a public/private flag is not good enough.</div></div>
</div></div>