<div dir="ltr">Hi team,<br><br>I'm having a weird behavior with my Openstack platform that makes me think I may have misunderstood some mechanisms on the way policies are working and especially the overriding.<div><br></div><div>So, long story short, I've few services that get custom policies such as glance that behave as expected, Keystone's one aren't.</div><div><br></div><div>All in all, here is what I'm understanding of the mechanism:<br><br>This is the keystone policy that I'm looking to override:<br><a href="https://paste.openstack.org/show/bwuF6jFISscRllWdUURL/">https://paste.openstack.org/show/bwuF6jFISscRllWdUURL/</a><br><br>This policy default can be found in here:<br><a href="https://opendev.org/openstack/keystone/src/branch/master/keystone/common/policies/group.py#L197">https://opendev.org/openstack/keystone/src/branch/master/keystone/common/policies/group.py#L197</a><br></div><div><br></div><div>Here is the policy that I'm testing:<br><a href="https://paste.openstack.org/show/bHQ0PXvOro4lXNTlxlie/">https://paste.openstack.org/show/bHQ0PXvOro4lXNTlxlie/</a><br></div><div><br></div><div>I know, this policy isn't taking care of the admin role but it's not the point.</div><div><br>From my understanding, any user with the project-manager role should be able to add any available user on any available group as long as the project-manager domain is the same as the target.<br><br>However, when I'm doing that, keystone complains that I'm not authorized to do so because the user token scope is 'PROJECT' where it should be 'SYSTEM' or 'DOMAIN'.</div><div><br></div><div>Now, I wouldn't be surprised of that message being thrown out with the default policy as it's stated on the code with the following:</div><div><a href="https://opendev.org/openstack/keystone/src/branch/stable/ussuri/keystone/common/policies/group.py#L197">https://opendev.org/openstack/keystone/src/branch/stable/ussuri/keystone/common/policies/group.py#L197</a><br><br>So the question is, if the custom policy doesn't override the default scope_types how am I supposed to make it work?</div><div><br></div><div>I hope it was clear enough, but if not, feel free to ask me for more information.<br><br>PS: I've tried to assign this role with a domain scope to my user and I've still the same issue.<br><br>Thanks a lot everyone!<br><br><br></div></div>