<div dir="ltr">Thanks for sample, I think for this next recon I will just comment it out again and then I will add in the channel config. I don't imagine I would be doing a lot of reconciliation after these next few since Live Sync will be doing the rest, I just had a lot of cleaning up to do after the initial import.<div><br></div><div>I should have just tested the below before which I ran 3 tests a few minutes ago, I did a recon in my test environment and the passwords are not updated, the only time I could see the password being updated during a recon is when a change in the password has occurred.</div><div><span style="font-size:12.8000001907349px">        <credentials></span><br style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px">                <password></span><br style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px">                        <outbound></span><br style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px">                              </span><span style="font-size:12.8000001907349px">  <expression></span><br style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px">                                    <asIs/></span><br style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px">                              </span><span style="font-size:12.8000001907349px">  </expression></span><br style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px">                     </outbound></span><br style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px">                </password></span><br style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px">        </credentials></span><br></div><div><span style="font-size:12.8000001907349px"><br></span></div><div>Thanks,</div><div>JASON</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jul 6, 2015 at 1:31 AM, Ivan Noris <span dir="ltr"><<a href="mailto:ivan.noris@evolveum.com" target="_blank">ivan.noris@evolveum.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    Hi Jason,<br>
    <br>
    as Pavol has pointed out, the behaviour of the password is a bit
    tricky, as midPoint does not have the original value and would send
    the repository value to AD, which is probably not what you wish to
    do while reconciling, if AD passwords are set and reset in AD, not
    through midPoint.<br>
    <br>
    The channel trick should work for you, if you can say in which
    channel(s) you wish to use the mapping (or the opposite: the
    channel(s), in which you don't wich to use the mapping). In my
    experience, the list of channels can be different during the initial
    setup and after. E.g. if you leave only LiveSync channel through the
    password outbound mapping, it should be OK for almost all
    situations. But if some AD accounts get accidentaly deleted and you
    would like midPoint to recreate, I doubt the password will be set
    correctly, because reconciliation or GUI use different channels as
    LiveSync.<br>
    <br>
    So, either use the <channel> restriction, or comment the whole
    mapping during the reconciliation (which is what I do, as a paranoid
    setting, which is fine for me, but off course nobody is able to send
    the password to AD when I'm playing :) ).<br>
    <br>
    The channel limitation for LiveSync and maybe for GUI (to allow
    password change when requested from GUI) is probably a good start,
    but just like Pavol I recommend you to try this out.<br>
    <br>
    An <i>example</i> from one of my projects (this is not AD, but it
    does not matter) to allow password changes during initial import,
    during LiveSync and from GUI:<br>
    <br>
            <credentials><br>
                    <password><br>
                            <outbound><br>
                                    <description>Do not change
    passwords unless using GUI or import (initial) or LiveSync from
    OpenLDAP through midPoint</description><br>
                                   
<channel><a href="http://midpoint.evolveum.com/xml/ns/public/provisioning/channels-3#import" target="_blank">http://midpoint.evolveum.com/xml/ns/public/provisioning/channels-3#import</a></channel><br>
                                   
<channel><a href="http://midpoint.evolveum.com/xml/ns/public/model/channels-3#user" target="_blank">http://midpoint.evolveum.com/xml/ns/public/model/channels-3#user</a></channel><br>
                                   
<channel><a href="http://midpoint.evolveum.com/xml/ns/public/provisioning/channels-3#liveSync" target="_blank">http://midpoint.evolveum.com/xml/ns/public/provisioning/channels-3#liveSync</a></channel><br>
                                    <expression><br>
                                        <asIs/><br>
                                    </expression><br>
                         </outbound><br>
                    </password><br>
            </credentials><br>
    <br>
    Regards,<br>
    Ivan<div><div class="h5"><br>
    <br>
    <div>On 07/04/2015 03:39 PM, Pavol Mederly
      wrote:<br>
    </div>
    <blockquote type="cite">
      
      <div>Hello Jason,<br>
        <br>
        mapping strength influences how the mapping is applied, either
        during normal operation or during reconciliation.<br>
        I'm sure you have already seen this: <a href="https://wiki.evolveum.com/display/midPoint/Mapping#Mapping-MappingStrength" target="_blank">https://wiki.evolveum.com/display/midPoint/Mapping#Mapping-MappingStrength</a><br>
        <br>
        In your case, I assume the outbound mapping for password is
        specified with strength of "normal" (the default) or "weak".<br>
        According to the documentation, both are used if the target
        attribute does not have any value.<br>
        <br>
        So far so good. But in AD the password always has no value,
        because the AD clients are not allowed to retrieve it (for
        obvious reasons).<br>
        So I'm almost sure that the AD password would get overwritten by
        the one stored in the repository.<br>
        <br>
        This is what the theory says. Maybe Ivan (or anyone with
        practical experiences in this respect) would correct me.<br>
        <br>
        Back to your case; it is possible to enable/disable a mapping
        for example depending on a channel that caused the mapping to
        fire.<br>
        See the <channel> element directly under <mapping>.
        In your case, you could try to include a limitation to LiveSync
        channel, with<br>
        an assumption that changes from your CSV file would come through
        LiveSync. But please try in the test environment before<br>
        using this advice :)<br>
        <br>
        Best regards and nice weekend!<br>
        Pavol<br>
        <br>
        <br>
        On 3. 7. 2015 21:06, Jason Everling wrote:<br>
      </div>
      <blockquote type="cite">
        <div dir="ltr">I just wanted to confirm, before I un-comment
          outbound credentials for my AD resource,
          <div><br>
          </div>
          <div>The only time a password is sent outbound is when the
            password in midPoint is changed correct?</div>
          <div><br>
          </div>
          <div>I need to run a reconcile against AD after making a few
            changes but I wanted to make sure that this will not send
            out passwords for all users? I am correct in assuming not?</div>
          <div><br>
          </div>
          <div>Users in midPoint will authenticate via CAS, the outbound
            password mapping is for when a user is created from CSV and
            a password is generated.</div>
          <div><br>
          </div>
          <div>JASON</div>
        </div>
        <br>
        <font size="2"><br>
          <br>
          CONFIDENTIALITY NOTICE:<br>
          This e-mail together with any attachments is proprietary and
          confidential; intended for only the recipient(s) named above
          and may contain information that is privileged. You should not
          retain, copy or use this e-mail or any attachments for any
          purpose, or disclose all or any part of the contents to any
          person. Any views or opinions expressed in this e-mail are
          those of the author and do not represent those of the Baptist
          School of Health Professions. If you have received this e-mail
          in error, or are not the named recipient(s), you are hereby
          notified that any review, dissemination, distribution or
          copying of this communication is prohibited by the sender and
          to do so might constitute a violation of the Electronic
          Communications Privacy Act, 18 U.S.C. section 2510-2521.
          Please immediately notify the sender and delete this e-mail
          and any attachments from your computer. </font><br>
        <br>
        <fieldset></fieldset>
        <br>
        <pre>_______________________________________________
midPoint mailing list
<a href="mailto:midPoint@lists.evolveum.com" target="_blank">midPoint@lists.evolveum.com</a>
<a href="http://lists.evolveum.com/mailman/listinfo/midpoint" target="_blank">http://lists.evolveum.com/mailman/listinfo/midpoint</a>
</pre>
      </blockquote>
      <br>
      <br>
      <fieldset></fieldset>
      <br>
      <pre>_______________________________________________
midPoint mailing list
<a href="mailto:midPoint@lists.evolveum.com" target="_blank">midPoint@lists.evolveum.com</a>
<a href="http://lists.evolveum.com/mailman/listinfo/midpoint" target="_blank">http://lists.evolveum.com/mailman/listinfo/midpoint</a>
</pre>
    </blockquote>
    <br>
    </div></div><span class="HOEnZb"><font color="#888888"><pre cols="72">-- 
  Ing. Ivan Noris
  Senior Identity Management Engineer & IDM Architect
  <a href="http://evolveum.com" target="_blank">evolveum.com</a>                     <a href="http://evolveum.com/blog/" target="_blank">evolveum.com/blog/</a>
  ___________________________________________________
  "Semper Id(e)M Vix."
</pre>
  </font></span></div>

<br>_______________________________________________<br>
midPoint mailing list<br>
<a href="mailto:midPoint@lists.evolveum.com">midPoint@lists.evolveum.com</a><br>
<a href="http://lists.evolveum.com/mailman/listinfo/midpoint" rel="noreferrer" target="_blank">http://lists.evolveum.com/mailman/listinfo/midpoint</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">JASON</div></div>
</div>

<br>
<font size="2"><br><br>CONFIDENTIALITY NOTICE:<br>This e-mail together with any attachments is proprietary and confidential; intended for only the recipient(s) named above and may contain information that is privileged. You should not retain, copy or use this e-mail or any attachments for any purpose, or disclose all or any part of the contents to any person. Any views or opinions expressed in this e-mail are those of the author and do not represent those of the Baptist School of Health Professions. If you have received this e-mail in error, or are not the named recipient(s), you are hereby notified that any review, dissemination, distribution or copying of this communication is prohibited by the sender and to do so might constitute a violation of the Electronic Communications Privacy Act, 18 U.S.C. section 2510-2521. Please immediately notify the sender and delete this e-mail and any attachments from your computer. </font><br>