<div dir="ltr"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span style="font-size:12.8px">Yes. If you set up authorizations in a proper way then the GUI should adapt. </span></blockquote><div><br></div><div>I'll try looking into this, however I'm not really sure how to set GUI authorization rules for the midPoint repository. Also, I'd only wanna hide these two resources for the GUI credentials page only. </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span style="font-size:12.8px">But easier way would be to set up fixed (strong) mappings for password propagation and completely disallow account changes.</span></blockquote><div><br></div><div>I agree, however currently we don't story any passwords in the midPoint repository as per the security standards of this department. So unfortunately this is not an option for us. </div><div><br></div><div>Thanks for the thorough explanation. In the near future, I'll attempt to craft a feature request for this particular issue. </div><div><br></div><div>As an alternative to this whole situation, we've built a separate custom web component that directly edits the LDAP attribute for a particular user. It would be ideal to integrate this web component directly in midPoint. Are there any instructions (besides just hacking it) on how to add a custom web component to midPoint such that it respects authentication and such?</div><div><br></div><div>Thanks, </div><div>-F </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jul 18, 2016 at 10:35 AM, Radovan Semancik <span dir="ltr"><<a href="mailto:radovan.semancik@evolveum.com" target="_blank">radovan.semancik@evolveum.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<span class=""><br>
<br>
On 07/18/2016 06:54 PM, Florin. Stingaciu wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
So I managed to resolve the "Old Password" input field on the credentials page, however the password propagation for the midPoint repository resource is enabled by default. Is there anyway to specify one particular resource to be enabled by default? We want to avoid storing any passwords on the midPoint DB at all costs.<br>
</blockquote>
<br></span>
I think there is a way to hide the password propagation dialog. Use the propagationUserControl setting (see the XSD schema or maybe one of my colleagues can provide an example).<br>
Then simply use password outbound mappings to propagate the password just to one resource.<br>
<br>
However, currently it is not easy to avoid storing password in midpoint database. MidPoint philosophy is to always synchronize between focus (user) and projection (account) and never between projections directly. So, the password needs to be present in midPoint user. And for now complete user is stored in the database.<br>
<br>
There was some discussion about the setting to store passwords in hashed form (as opposed to encrypted form as it is now). Or even to handle password only in memory and not to store it at all. I would really like to implement that - and I was expecting this flexibility during midPoint design, so the implmenetation should not be that difficult. But obviously this feature haven't attracted attention of any midPoint subscriber or sponsor. Therefore it is not implemented.<br>
<br>
If you want to avoid storing the password you can do some magic with scripting hook and remove the password from the user and user deltas at the right moment in the request processing "clockwork": just after it was propagated to projection context but before the user is stored. I believe that this is possible, but it will require very clever manipulation of model context.<br>
<br>
... or you can get a subscription or sponsor this feature.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
In total we have three repositories. One for the midPOint repository, an LDAP server (which is where we want to change passwords by default) and lastly there's a read only Active Directory. Is there any way (either via security policies, or the authorization model) to only show and allow password changes on the LDAP server?<br>
</blockquote>
<br></span>
Yes. If you set up authorizations in a proper way then the GUI should adapt. But easier way would be to set up fixed (strong) mappings for password propagation and completely disallow account changes.<br>
<br>
However, currently the GUI is designed to conveniently change only the user password. And we have no plans to extend that to account passwords as the common use case is to change user password and propagate the change to the resources. We do not want to confuse end user too much ... and in fact many users find the password propagation dialog too confusing, hence the option to disable it. So just one entry for the password should be enough. The way forward is to control the way how user password is stored in midpoint repository. I'm sorry that we do not have that yet. But anyone can help with funding of this feature.<br>
<br>
It could work like this:<br>
<br>
User changes his password in midPoint (already implemented)<br>
MidPoint will propagate the password to the resources using the mappings (already implemented)<br>
MidPoint consults the password storage policy and forgets the password (not implemented)<br>
<br>
So, just a little piece is missing.<div class="HOEnZb"><div class="h5"><br>
<br>
-- <br>
Radovan Semancik<br>
Software Architect<br>
<a href="http://evolveum.com" rel="noreferrer" target="_blank">evolveum.com</a><br>
<br>
_______________________________________________<br>
midPoint mailing list<br>
<a href="mailto:midPoint@lists.evolveum.com" target="_blank">midPoint@lists.evolveum.com</a><br>
<a href="http://lists.evolveum.com/mailman/listinfo/midpoint" rel="noreferrer" target="_blank">http://lists.evolveum.com/mailman/listinfo/midpoint</a><br>
</div></div></blockquote></div><br></div>