<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 5, 2015 at 3:00 AM:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div id=":1gh" class="a3s" style="overflow:hidden">From: Jason Everling <<a href="mailto:jeverling@bshp.edu">jeverling@bshp.edu</a>><br><br>
I wanted to reply to this one,<br>
<br>
"or if the roles, etc in the IAM are strictly for permissions *within* the<br>
IAM system itself and not meant to have meaning to outside systems."<br>
<br>
The roles,orgs,etc.. in midpoint can have meaning outside the system. A<br>
role/org in midpoint can be used to manage groups and roles in external<br>
systems, like LDAP groups or Unix groups and also generically.<br>
<br>
JASON</div></blockquote></div><br>thank you for your input, jason.  to help me wrap my head around what i am trying to do a bit more, i have started coding out some stubs from our codebase side, to see if i can meet midpoint, well, half-way, if you will.  just some simple java classes and methods.  to put it in its most simplest form, i am wanting to answer this (pseudocode) boolean question:   object.canUserDo(user, activity)</div><div class="gmail_extra"><br></div><div class="gmail_extra">my plan is to do with with a combination of roles and groups (e.g. a role permits activities, a user has a role *within a group*.  the group is linked to the object).</div><div class="gmail_extra"><br></div><div class="gmail_extra">so really, i am hoping to not have to do all the group/role/user crud/ui/persistence at all, not reinvent the wheel.  now that i have a little more code on our end, i may try to map these concepts to midpoint and see if it can handle the management for us.</div><div class="gmail_extra"><br></div><div class="gmail_extra">thanks again for feedback on my question,</div><div class="gmail_extra">-jon</div></div>