[midPoint] (no subject)

Petr Gašparík - AMI Praha a.s. petr.gasparik at ami.cz
Wed Oct 21 10:47:50 CEST 2020 

Hi,
I do not know your whole aurthorization context, but I would start with
this:

   - if you remove the role from said user, can s/he see all users or no
   user?
   - I would bet for "all users", meaning he has granted broader rights by
   other means (other role)

--

s pozdravem

*Petr Gašparík*
konzultant IT bezpečnosti

gsm: [+420] 603 523 860
e‑mail: petr.gasparik at ami.cz

*AMI Praha a.s.*
Pláničkova 11, 162 00 Praha 6

tel.: [+420] 274 783 239 | web: www.ami.cz

[image: AMI Praha a.s.]

Textem tohoto e‑mailu podepisující neslibuje uzavřít ani neuzavírá
za společnost AMI Praha a.s.
jakoukoliv smlouvu. Každá smlouva, pokud bude uzavřena, musí mít výhradně
písemnou formu.

Tento e‑mail je určen výhradně pro potřeby jeho adresáta/ů a může obsahovat
důvěrné nebo osobní
informace. Nejste‑li zamýšleným příjemcem, je zakázáno jakékoliv
zveřejňování, zprostředkování
nebo jiné použití těchto informací. Pokud jste obdrželi e‑mail neoprávněně,
informujte o tom prosím
odesílatele a vymažte neprodleně všechny kopie tohoto e‑mailu včetně
všech jeho příloh. Nakládáním
s neoprávněně získanými informacemi se vystavujete riziku právního postihu.


st 21. 10. 2020 v 9:06 odesílatel Tomáš via midPoint <
midpoint at lists.evolveum.com> napsal:

> Hallo, together
>
> i have following trouble
>
>    1. i have some user who act in specific role
>    2. user's organizationID is 94270
>    3. and then i am trying to grant to the user (trough role) rights to
>    read other users witch belong to same *organizationID*(*organizationID*is
>    extended attribute)
>    4.
>
> I start to do it according
>
> https://wiki.evolveum.com/display/midPoint/Authorization+Configuration#AuthorizationConfiguration-ObjectSpecification
>
> and wrote some filtering inside role-xml *(here is simplified one). *
>
> BUT,
>
>    1. when i log to midpoint as mentioned user, i see all the Users,
>    regardless the value of *organizationID*.
>    2. When i do in UI filtering on *organizationID*, it works and i see
>    just users with asked *organizationID*,
>    3. when i add to object <special>self</special> i see that self is used
>    4.
>
> So why the filter do not work? What I am doing wrong? I tried as well to
> do it with script, I logged every user which was filtered. But.. it DO NOT
> WORK.
>
>    <authorization id=*"25"*>
>         <name>[*Zamestnanec* XY] EXT/TEMP Some user attributes (read)</
> name>
>         <description>*Alow* visibility of users attributes (EXT/TEMP)</
> description>
>         <action>
> http://midpoint.evolveum.com/xml/ns/public/security/authorization-model-3#read
> </action>
>         <object id=*"24"*>
>             <type>UserType</type>
>             <filter>
>                     <q:equal>
>                         <q:path>extension/organizationID</q:path>
>                         <q:value>94270</q:value>
>                     </q:equal>
>             </filter>
> <!--             <special>self</special> -->
>         </object>
>         <c:item>name</c:item>
>         <c:item>*subtype*</c:item>
>         <c:item>extension/organizationID</c:item>
>     </authorization> _______________________________________________
> midPoint mailing list
> midPoint at lists.evolveum.com
> https://lists.evolveum.com/mailman/listinfo/midpoint
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.evolveum.com/pipermail/midpoint/attachments/20201021/20b1205b/attachment.htm>

More information about the midPoint mailing list