<div dir="ltr">Hi, Pavlo.<br><br>Looks like it's not just project/domain UUID should be equal, but also audit_id, endpoints_id, protocol_id, roles_id and many other entities. <br>So, looks like it is not possible to implement this using current code base, but I could be wrong.<br><br>You can take a look at mapped auth plugin [1] in order to investigate what exactly should be the same (ids).<br><br><br>Thanks.<br><br><br>[1] <a href="https://github.com/openstack/keystone/blob/master/keystone/auth/plugins/mapped.py#L37">https://github.com/openstack/keystone/blob/master/keystone/auth/plugins/mapped.py#L37</a></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Dec 7, 2017 at 7:37 PM, Pavlo Shchelokovskyy <span dir="ltr"><<a href="mailto:pshchelokovskyy@mirantis.com" target="_blank">pshchelokovskyy@mirantis.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi all,<div><br></div><div>We have a following use case - several independent keystones (say KeyA and KeyB), using fernet tokens and synchronized fernet keys, and single external IdP for federated auth.</div><div><br></div><div>Is it generally possible to configure both KeyA and KeyB such that scoped token issued by KeyA for a federated user is valid on KeyB?</div><div><br></div><div>Currently we have the next problem - although domains/projects where keystone's mapping engine assigns federated users are equal by name between KeyA and KeyB, the UUIDs of projects/domains in KeyA and KeyB  are different, which seems to invalidate the scoped token issued by KeyA when trying to use it for KeyB. And it is not possible to create projects/domains with specific UUIDs via keystone API (which would probably solve this problem for non-autoprovisioned projects).<br clear="all"><div><br></div><div>Is such usage scenario supported? Or one should always use the unscoped token first to list projects/domains available on a specific keystone instance and then get a scoped token for usage o this instance only?</div><div><br></div><div>Best regards,</div><span class="HOEnZb"><font color="#888888">-- <br><div class="m_-6301416799993544481gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr">Dr. Pavlo Shchelokovskyy<div>Senior Software Engineer</div><div>Mirantis Inc</div><div><a href="http://www.mirantis.com" target="_blank">www.mirantis.com</a></div></div></div></div></div>
</font></span></div></div>
<br>______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
<br></blockquote></div><br></div>