<div dir="ltr">At the PTG in Atlanta, we talked about deprecating the policy and credential APIs. The policy API doesn't do anything and secrets shouldn't be stored in credential API. Reasoning and outcomes can be found in the etherpad from the session [0]. There was some progress made on the policy API [1], but it's missing a couple patches to tempest. Is anyone willing to carry the deprecation over the finish line for Pike?<div><br></div><div>According to the outcomes from the session, the credential API needs a little bit of work before we can deprecate it. It was determined at the PTG that we if keystone absolutely has to store ec2 and totp secrets, they should be formal first-class attributes of the user (i.e. like how we treat passwords `user.password`). This would require refactoring the existing totp and ec2 implementations to use user attributes. Then we could move forward with deprecating the actual credential API. Depending on the amount of work required to make .totp and .ec2 formal user attributes, I'd be fine with pushing the deprecation to Queens if needed.</div><div><br></div><div>Does this interest anyone?</div><div><div><br></div><div><br></div><div>[0] <a href="https://etherpad.openstack.org/p/pike-ptg-keystone-deprecations">https://etherpad.openstack.org/p/pike-ptg-keystone-deprecations</a></div><div>[1] <a href="https://review.openstack.org/#/c/438096/">https://review.openstack.org/#/c/438096/</a></div></div></div>