<div dir="ltr">Hi, Pavlo.<br><br>Looks like it's not just project/domain UUID should be equal, but also audit_id, endpoints_id, protocol_id, roles_id and many other entities.¬†<br>So, looks like it is not possible to implement this using current code base, but I could be wrong.<br><br>You can take a look at mapped auth plugin [1] in order to investigate what exactly should be the same (ids).<br><br><br>Thanks.<br><br><br>[1] <a href="https://github.com/openstack/keystone/blob/master/keystone/auth/plugins/mapped.py#L37">https://github.com/openstack/keystone/blob/master/keystone/auth/plugins/mapped.py#L37</a></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Dec 7, 2017 at 7:37 PM, Pavlo Shchelokovskyy <span dir="ltr"><<a href="mailto:pshchelokovskyy@mirantis.com" target="_blank">pshchelokovskyy@mirantis.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi all,<div><br></div><div>We have a following use case - several independent keystones (say KeyA and KeyB), using fernet tokens and synchronized fernet keys, and single external IdP for federated auth.</div><div><br></div><div>Is it generally possible to configure both KeyA and KeyB such that scoped token issued by KeyA for a federated user is valid on KeyB?</div><div><br></div><div>Currently we have the next problem - although domains/projects where keystone's mapping engine assigns federated users are equal by name between KeyA and KeyB, the UUIDs of projects/domains in KeyA and KeyB¬† are different, which seems to invalidate the scoped token issued by KeyA when trying to use it for KeyB. And it is not possible to create projects/domains with specific UUIDs via keystone API (which would probably solve this problem for non-autoprovisioned projects).<br clear="all"><div><br></div><div>Is such usage scenario supported? Or one should always use the unscoped token first to list projects/domains available on a specific keystone instance and then get a scoped token for usage o this instance only?</div><div><br></div><div>Best regards,</div><span class="HOEnZb"><font color="#888888">-- <br><div class="m_-6301416799993544481gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr">Dr. Pavlo Shchelokovskyy<div>Senior Software Engineer</div><div>Mirantis Inc</div><div><a href="http://www.mirantis.com" target="_blank">www.mirantis.com</a></div></div></div></div></div>
</font></span></div></div>
<br>______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
<br></blockquote></div><br></div>