<div dir="ltr">Hi all,<div><br></div><div>We have a following use case - several independent keystones (say KeyA and KeyB), using fernet tokens and synchronized fernet keys, and single external IdP for federated auth.</div><div><br></div><div>Is it generally possible to configure both KeyA and KeyB such that scoped token issued by KeyA for a federated user is valid on KeyB?</div><div><br></div><div>Currently we have the next problem - although domains/projects where keystone's mapping engine assigns federated users are equal by name between KeyA and KeyB, the UUIDs of projects/domains in KeyA and KeyB  are different, which seems to invalidate the scoped token issued by KeyA when trying to use it for KeyB. And it is not possible to create projects/domains with specific UUIDs via keystone API (which would probably solve this problem for non-autoprovisioned projects).<br clear="all"><div><br></div><div>Is such usage scenario supported? Or one should always use the unscoped token first to list projects/domains available on a specific keystone instance and then get a scoped token for usage o this instance only?</div><div><br></div><div>Best regards,</div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr">Dr. Pavlo Shchelokovskyy<div>Senior Software Engineer</div><div>Mirantis Inc</div><div><a href="http://www.mirantis.com" target="_blank">www.mirantis.com</a></div></div></div></div></div>
</div></div>