<html>
  <head>

    <meta http-equiv="content-type" content="text/html; charset=UTF-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <p>The Keystone policy.json file I created with
      oslo-policy-generator contains lines I don't understand. For
      example <i>list_users</i>. The comment says:</p>
    <p><tt># DEPRECATED "identity:list_users":"rule:admin_required" has
        been</tt><tt><br>
      </tt><tt># deprecated since S in favor of
        "identity:list_users":"(role:reader</tt><tt><br>
      </tt><tt># and system_scope:all) or (role:reader and</tt><tt><br>
      </tt><tt># domain_id:%(target.domain_id)s)".</tt></p>
    <p>I do understand the expression starting with <tt><tt>(role:reader
          .... </tt></tt>, but contrarily to the comment, the policy is
    </p>
    <p><tt>"identity:list_users": "rule:identity:list_users"</tt></p>
    <p>This looks like a circular definition, and in any case, nowhere
      do I see<tt> </tt><tt><tt>rule:identity:list_users </tt></tt>defined.
      <br>
    </p>
    <p>Can someone in the know explain how this policy is processed?<br>
    </p>
    <p>Thanks much,</p>
    <p>Bernd<tt><tt><br>
        </tt></tt></p>
  </body>
</html>