<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body text="#000000" bgcolor="#FFFFFF">
Hi all,<br>
<br>
I'm in the process of prototyping a federated Keystone using OpenID Connect, which will place ephemeral users in a group that has roles in existing projects. I was testing how it felt from the user's perspective and am confused how I'm supposed to be able to
 use the openstacksdk with federation. For one thing, the RC files I can download from the "API Access" section of Horizon don't seem like they work; the domain is hard-coded to "Federated", and it also uses a username/password authentication method.<br>
<br>
I can see that there is a way to use KSA to use an existing OIDC token, which I think is probably the most "user-friendly" way, but the user still has to obtain this token themselves out-of-band, which is not trivial. Has anybody else set this up for users
 who liked to use the CLI? Is the solution to educate users about creating application credentials instead?<br>
<br>
Thank you in advance,<br>
<br>
<div class="moz-signature">-- <br>
Jason Anderson<br>
<br>
Chameleon DevOps Lead<br>
<b>Consortium for Advanced Science and Engineering, The University of Chicago</b><br>
<b>Mathematics & Computer Science Division, Argonne National Laboratory</b> </div>
</body>
</html>