<div dir="ltr">Hi<div><br></div><div>I'm trying to resolve/solve the issue that is described in bug 183072 [1], and I'm looking for help in how it might be resolved.  To recap the bug quickly:</div><div><ol><li>horizon, multi-domain enabled.</li><li>'admin' user is in 'admin_domain' and 'admin' project</li><li>Log in as that 'admin' user in 'admin_domain'.</li><li>Create test domain.</li><li>Set domain context to 'test' domain</li><li>Create a user in the 'test' domain.</li><li>Can't see that user in the user list.</li><li>Do same for project; can't see the project.</li></ol><div>In the bug comments at [2] (comment 38) I've recorded the results after adding some debug code to keystone and horizon and came to the following tentative conclusion:</div></div><div><br></div><div><ol><li>Horizon uses a domain scoped token for listing users when the domain context is set.  In this case that token is domain-scoped to 'admin_domain'</li><li>Keystone at the stein release, due to a change introduced in [3] for the users (detail in [4]) filters users that are not in the domain of the domain scoped token.</li><li>Thus, the domains for the 'test' domain are filtered out and are not seen in the horizon dashboard.</li><li>I believe this is the same for projects.</li></ol><div>In order to solve this, I suspect one or more of the following would need to be done.  However, I'm not familiar enough with the horizon codebase to know where to start.</div></div><div><ol><li>In horizon, if the user is an admin user, then don't use a domain-scoped token for listing users, projects, or anything else.</li><li>Alternatively, obtain a domain scoped token for the domain context that is set.  (I'm not familiar enough with keystone to know whether it's possible for the admin user to get 'any' domain scoped token for any domain???)</li></ol><div>Incidentally, the openstack CLI doesn't use domain scoped tokens for list users in a domain; I don't know whether this is an appropriate approach to take in horizon.</div></div><div><br></div><div>Thanks very much in advance.  Happy to chat on IRC if that's useful (I'm UTC TZ).</div><div><br></div><div>Best regards</div><div>Alex.</div><div><br></div><div>[1] <a href="https://bugs.launchpad.net/openstack-bundles/+bug/1830782">https://bugs.launchpad.net/openstack-bundles/+bug/1830782</a><br clear="all"><div>[2] <a href="https://bugs.launchpad.net/openstack-bundles/+bug/1830782/comments/38">https://bugs.launchpad.net/openstack-bundles/+bug/1830782/comments/38</a></div><div>[3] <a href="https://review.opendev.org/#/c/647587/">https://review.opendev.org/#/c/647587/</a></div><div>[4] <a href="https://review.opendev.org/#/c/647587/3/keystone/api/users.py">https://review.opendev.org/#/c/647587/3/keystone/api/users.py</a></div>-- <br><div dir="ltr" class="m_-4147601271346488378gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr">Alex Kavanagh - Software Engineer<div><span style="font-size:small">OpenStack Engineering - Data Centre Development - Canonical Ltd</span><br></div></div></div></div></div></div></div>