<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;
        color:black;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        color:black;}
tt
        {mso-style-priority:99;
        font-family:"Courier New";}
span.EmailStyle18
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:"Consolas",serif;
        color:black;}
span.EmailStyle21
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body bgcolor="white" lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal"><span style="color:#1F497D">That worked great, I can reconcile a user, and only allow  viewing other attributes.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">One more item of concern I ran into, I restrict “List Tasks” to viewing of details for  a task as I am wanting, but I can still “Run/Suspend/Resume” a task. How can I tighten this and now allow these task functions
 to be performed but still allow viewing of details?<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Pat <o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="color:windowtext">From:</span></b><span style="color:windowtext"> Pavol Mederly [mailto:mederly@evolveum.com]
<br>
<b>Sent:</b> Tuesday, August 04, 2015 12:23 PM<br>
<b>To:</b> midpoint@lists.evolveum.com<br>
<b>Subject:</b> Re: [midPoint] Securing the GUI<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">Hello Pat,<br>
<br>
user reconciliation is actually executed as an empty modify action, with the option of reconcile=true.<br>
<br>
So I would suggest you to set the following authorizations (provided that view only access is set up):<br>
<br>
<tt><span style="font-size:10.0pt"><authorization></span></tt><span style="font-size:10.0pt;font-family:"Courier New""><br>
<tt>      <action><a href="https://urldefense.proofpoint.com/v2/url?u=http-3A__midpoint.evolveum.com_xml_ns_public_security_authorization-2Dmodel-2D3-23modify&d=AwMFaQ&c=8hUWFZcy2Z-Za5rBPlktOQ&r=iXq2t42tOKnUMAv8iP_A7TezRYjTq_aHZvlIZHBWsnc&m=R-CGbiY7zLfxibszkkeW9ZHC6lidvmFkIw2mtexyDA8&s=oemhhGbGymEhoHAhSx1Fu25fdU9RjP2B4KnlT7b3uP4&e=">http://midpoint.evolveum.com/xml/ns/public/security/authorization-model-3#modify</a></action></tt><br>
<tt>      <phase>execution</phase></tt><br>
<tt>      <object></tt><br>
<tt>         <type>UserType</type></tt><br>
<tt>      </object></tt><br>
<tt>      <object></tt><br>
<tt>         <type>ShadowType</type></tt><br>
<tt>      </object></tt><br>
<tt></authorization></tt><br>
</span><br>
This ensures that the user can do any modification that would be computed by the reconciliation.<br>
<br>
But you need to specify that the user can not request anything explicitly. This seems to work:<br>
<span style="font-size:10.0pt;font-family:"Courier New""><br>
<tt><authorization></tt><br>
<tt>      <action><a href="https://urldefense.proofpoint.com/v2/url?u=http-3A__midpoint.evolveum.com_xml_ns_public_security_authorization-2Dmodel-2D3-23modify&d=AwMFaQ&c=8hUWFZcy2Z-Za5rBPlktOQ&r=iXq2t42tOKnUMAv8iP_A7TezRYjTq_aHZvlIZHBWsnc&m=R-CGbiY7zLfxibszkkeW9ZHC6lidvmFkIw2mtexyDA8&s=oemhhGbGymEhoHAhSx1Fu25fdU9RjP2B4KnlT7b3uP4&e=">http://midpoint.evolveum.com/xml/ns/public/security/authorization-model-3#modify</a></action></tt><br>
<tt>      <phase>request</phase></tt><br>
<tt>      <object></tt><br>
<tt>         <type>UserType</type></tt><br>
<tt>      </object></tt><br>
<tt>      <c:item>dummyItem</c:item></tt><br>
<tt></authorization></tt></span><br>
<br>
(dummyItem is any non-existing item name - if there were no items specified, requester could modify anything)<br>
<br>
After applying this, I am able to request a reconciliation of given user(s) from the user list page.<br>
Actually I cannot display user details but maybe it's some misconfiguration at my side.<br>
<br>
Overall, I'm not a big expert in authorizations; maybe someone on this list could improve this suggestion. :)<br>
<br>
Best regards,<br>
Pavol<span style="font-size:12.0pt"><o:p></o:p></span></p>
</div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<p class="MsoNormal">I am looking to secure the GUI and define a role that has view only access, but with the option of performing a reconcile on a user as being allowed. I can get the view only option working, but how can I overlay allowing reconcile? Does
 this need to be a separate role?<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"><i><span style="font-size:10.0pt;font-family:"Arial",sans-serif">Pat Schlehuber</span></i><o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif"><br>
<br>
<br>
<o:p></o:p></span></p>
<pre>_______________________________________________<o:p></o:p></pre>
<pre>midPoint mailing list<o:p></o:p></pre>
<pre><a href="mailto:midPoint@lists.evolveum.com">midPoint@lists.evolveum.com</a><o:p></o:p></pre>
<pre><a href="https://urldefense.proofpoint.com/v2/url?u=http-3A__lists.evolveum.com_mailman_listinfo_midpoint&d=AwMFaQ&c=8hUWFZcy2Z-Za5rBPlktOQ&r=iXq2t42tOKnUMAv8iP_A7TezRYjTq_aHZvlIZHBWsnc&m=R-CGbiY7zLfxibszkkeW9ZHC6lidvmFkIw2mtexyDA8&s=hiQDTzrL677lbxd6-BNg6poOL3z00FZxC0lAbwQ_C4g&e=">http://lists.evolveum.com/mailman/listinfo/midpoint</a><o:p></o:p></pre>
</blockquote>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif"><o:p> </o:p></span></p>
</div>
</body>
</html>