<div dir="auto">Hi,<div dir="auto"><br></div><div dir="auto">I have a use case which I think could be fulfilled by scoped tokens:</div><div dir="auto"><br></div><div dir="auto">Allow an operator to delegate the ability to an actor to create users within a domain, without giving them the keys to the cloud.</div><div dir="auto"><br></div><div dir="auto">To do this, I understand I can assign a user the admin role for a domain. It seems that for this to work, I need to set [oslo_policy] enforce_scope = True in keystone.conf.</div><div dir="auto"><br></div><div dir="auto">The Train cycle highlights suggest this is now fully implemented in keystone, but other most projects lack support for scopes. Does this mean that in the above case, the user would have full cloud admin privileges in other services that lack support for scopes? i.e. while I expect it's safe to enable scope enforcement in keystone, is it "safe" to use it?</div><div dir="auto"><br></div><div dir="auto">Cheers,</div><div dir="auto">Mark</div></div>