<div dir="ltr">Hi all,<div><br></div><div>Rafael, thanks for the notes! That's a great initiative. Although it looks like it has stalled in the review phase...? (I'm new to interpreting the development workflow for OpenStack.)</div><div><br></div><div>To all: does anybody else have input on how they solved this issue?</div><div><br></div><div>Tx,</div><div><br></div><div>Ryan</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Nov 25, 2021 at 6:21 PM Rafael Weingärtner <<a href="mailto:rafaelweingartner@gmail.com">rafaelweingartner@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Hello Ryan, <br></div><div>We actually faced a similar situation and we extended Keystone to support the concept of Project bound credentials, which means, credentials that are owned by a project and not by a user. Therefore, the credentials are shared by all users of a project.</div><div><br></div><div>The spec is the following: <a href="https://review.opendev.org/c/openstack/keystone-specs/+/766725" target="_blank">https://review.opendev.org/c/openstack/keystone-specs/+/766725</a></div><div><br></div><div>We have it already running in PROD for over 6 months now, and it is also integrated with RadosGW<>Keystone authentication.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Nov 25, 2021 at 7:53 PM Ryan Bannon <<a href="mailto:ryan.bannon@gmail.com" target="_blank">ryan.bannon@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hello all,<div><br></div><div>Relatively new to OpenStack.</div><div><br></div><div>To my understanding, application credentials are bound to users. Is there a way to bind them to Projects (I assume not) or, perhaps, Groups? My naive thought on a possible solution is that if a group has access to a Project, a "generic" user account that everybody has access to could be used for the application credentials. (The use case here is to not bind an app cred to an individual who might leave the organization, thus making the app cred secret lost.)</div><div><br></div><div>Thanks,</div><div><br></div><div>Ryan</div></div>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr"><div dir="ltr">Rafael Weingärtner</div></div>
</blockquote></div>