<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">
Would application credentials fit your use case for CLI access? Users will be able to create them through Horizon, and after creation they will be prompted to download either a clouds.yaml or an openrc file, so the process is pretty straightforward.
<div class=""><br class="">
</div>
<div class=""><a href="https://docs.openstack.org/keystone/latest/user/application_credentials.html" class="">https://docs.openstack.org/keystone/latest/user/application_credentials.html</a></div>
<div class=""><br class="">
</div>
<div class="">Can you elaborate more on your issue with not being able to grant roles to groups?</div>
<div class=""><br class="">
</div>
<div class="">Best,</div>
<div class="">Kristi<br class="">
<div><br class="">
<blockquote type="cite" class="">
<div class="">On Feb 15, 2022, at 05:49, Francois <<a href="mailto:rigault.francois@gmail.com" class="">rigault.francois@gmail.com</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<div class="">Hi Keystone users!<br class="">
I am wondering if anyone has experience with keystone openid integration.<br class="">
Initially I was using Keystone LDAP backend (using tripleo<br class="">
KeystoneLDAPDomainEnable and KeystoneLDAPBackendConfigs parameters)<br class="">
and it works! Users are able to log in through Horizon or through the<br class="">
cli, roles can be given per LDAP group, and you can click in Horizon<br class="">
and download a working openrc or clouds.yaml file (minus the root CA<br class="">
that has to be added) to authenticate with the cli (and your password<br class="">
ends as an OS_PASSWORD variable in your environment).<br class="">
<br class="">
I am now trying the Keystone Openid backend (using the<br class="">
enable-federation-openidc.yaml provided by tripleo -<br class="">
<a href="https://github.com/openstack/tripleo-heat-templates/blob/master/environments/enable-federation-openidc.yaml" class="">https://github.com/openstack/tripleo-heat-templates/blob/master/environments/enable-federation-openidc.yaml</a>)<br class="">
with a mapping like this:<br class="">
<br class="">
   [{"local":[{"user":{"name":"{0}"},"group":{"domain":{"name":"Default"},"name":"federated_users"}}],"remote":[{"type":"HTTP_OIDC_EMAIL"}]}]<br class="">
<br class="">
The SSO works superb with Horizon, however<br class="">
- logging with the cli seems impractical. I see some doc here:<br class="">
<a href="https://docs.ukcloud.com/articles/openstack/ostack-how-use-api-sso.html" class="">https://docs.ukcloud.com/articles/openstack/ostack-how-use-api-sso.html</a><br class="">
where you need to provide a secret, I am skeptical I  want to do that.<br class="">
The openrc file downloaded from Horizon is not usable as is and needs<br class="">
some tuning. And there is no SSO, and the password still ends up in<br class="">
the environment...<br class="">
- I don't see how I can grant roles to groups anymore. It seems I need<br class="">
an extra mechanism to grant permissions (as I used to do that using<br class="">
LDAP groups).<br class="">
<br class="">
<br class="">
I am wondering if anyone is willing to share their experience dealing<br class="">
with Keystone and OpenID.<br class="">
<br class="">
Thanks!<br class="">
Francois (frigo)<br class="">
<br class="">
</div>
</div>
</blockquote>
</div>
<br class="">
</div>
</body>
</html>