<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none"><!--P{margin-top:0;margin-bottom:0;} .ms-cui-menu {background-color:#ffffff;border:1px rgb(166, 166, 166) solid;font-family:"Segoe UI","Segoe WP","Segoe UI WPC",Tahoma,Arial,sans-serif;font-size:10pt;color:rgb(51, 51, 51);} .ms-cui-menusection-title {display:none;} .ms-cui-ctl {vertical-align:text-top;text-decoration:none;color:rgb(51, 51, 51);} .ms-cui-ctl-on {background-color:rgb(228, 238, 230);opacity: 0.8;} .ms-cui-img-cont-float {display:inline-block;margin-top:2px} .ms-cui-smenu-inner {padding-top:0px;} .ms-owa-paste-option-icon {margin: 0px 6px 0px 6px;vertical-align:middle!important;padding-bottom: 2px;display:inline-block;} .ms-rtePasteFlyout-option:hover {background-color:rgb(228, 238, 230) !important;opacity:1 !important;} .ms-rtePasteFlyout-option {padding:8px 4px 8px 4px;outline:none;} .ms-cui-menusection {float:left; width:85px;height:24px;overflow:hidden}.wf {speak:none; font-weight:normal; font-variant:normal; text-transform:none; -webkit-font-smoothing:antialiased; vertical-align:middle; display:inline-block;}.wf-family-owa {font-family:'o365Icons'}@font-face {  font-family:'o365IconsIE8';  src:url('prem/15.0.995.29/resources/styles/office365icons.ie8.eot?#iefix') format('embedded-opentype'),         url('prem/15.0.995.29/resources/styles/office365icons.ie8.woff') format('woff'),         url('prem/15.0.995.29/resources/styles/office365icons.ie8.ttf') format('truetype');  font-weight:normal;  font-style:normal;}@font-face {  font-family:'o365IconsMouse';  src:url('prem/15.0.995.29/resources/styles/office365icons.mouse.eot?#iefix') format('embedded-opentype'),         url('prem/15.0.995.29/resources/styles/office365icons.mouse.woff') format('woff'),         url('prem/15.0.995.29/resources/styles/office365icons.mouse.ttf') format('truetype');  font-weight:normal;  font-style:normal;}.wf-family-owa {font-family:'o365IconsMouse'}.ie8 .wf-family-owa {font-family:'o365IconsIE8'}.ie8 .wf-owa-play-large:before {content:'\e254';}.notIE8 .wf-owa-play-large:before {content:'\e054';}.ie8 .wf-owa-play-large {color:#FFFFFF/*$WFWhiteColor*/;}.notIE8 .wf-owa-play-large {border-color:#FFFFFF/*$WFWhiteColor*/; width:1.4em; height:1.4em; border-width:.1em; border-style:solid; border-radius:.8em; text-align:center; box-sizing:border-box; -moz-box-sizing:border-box; padding:0.1em; color:#FFFFFF/*$WFWhiteColor*/;}.ie8 .wf-size-play-large {width:40px; height:40px; font-size:30px}.notIE8 .wf-size-play-large {width:40px; height:40px; font-size:30px}.notIE8 .wf-owa-triangle-down-small:before {content:'\e052';}.ie8 .wf-owa-triangle-down-small:before { content:'\e052';}.ie8 .wf-owa-triangle-down-small {color:#666666/*$WFGreyColor*/;}.wf-size-x20 {font-size: 20px!important;}
<!--
p
        {margin-top:0;
        margin-bottom:0}
-->
--></style>
</head>
<body dir="ltr" style="font-size:12pt;color:#000000;background-color:#FFFFFF;font-family:Calibri,Arial,Helvetica,sans-serif;">
<p>please remove me from the list<br>
</p>
<div style="font-size:12pt; color:#000000; background-color:#FFFFFF; font-family:Calibri,Arial,Helvetica,sans-serif" dir="ltr">
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font style="font-size:11pt" face="Calibri, sans-serif" color="#000000"><b>From:</b> midPoint <midpoint-bounces@lists.evolveum.com> on behalf of Aivo Kuhlberg <aivo.kuhlberg@rmit.ee><br>
<b>Sent:</b> Friday, August 12, 2016 1:11 PM<br>
<b>To:</b> midPoint General Discussion<br>
<b>Subject:</b> Re: [midPoint] Role request questions</font>
<div> </div>
</div>
<div>
<p>Hi Pavol,</p>
<p>Thanks for the answers.<br>
</p>
<blockquote>
<p><em>This is an interesting question. Do you want this operation to be carried out automatically (without approval), or to be approved in the same way as assignment creation?</em><br>
</p>
</blockquote>
<p>I was thinking about creating request for removing user's current assignment. It is just theoretical question at the moment and I don't think this feature might be much needed in real life - maybe only when user notices that he/she has assigned to wrong
 role (may happen when there are many roles) and then user sends request to "unassign" the wrong role and assign correct one.<br>
</p>
<p><br>
</p>
<p>Regards,</p>
<p>Aivo<br>
</p>
<div style="color:rgb(33,33,33)">
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font style="font-size:11pt" face="Calibri, sans-serif" color="#000000"><b>Saatja:</b> midPoint <midpoint-bounces@lists.evolveum.com> nimelPavol Mederly <mederly@evolveum.com><br>
<b>Saadetud:</b> 12. august 2016 12:12<br>
<b>Adressaat:</b> midpoint@lists.evolveum.com<br>
<b>Teema:</b> Re: [midPoint] Role request questions</font>
<div> </div>
</div>
<div>
<p>Hello Aivo,</p>
<p><br>
</p>
<p>please see answers in your text.</p>
<p><br>
</p>
<p>Best regards,<br>
</p>
<pre class="moz-signature" cols="72">Pavol Mederly
Software developer
evolveum.com
 </pre>
<blockquote type="cite">When I request a role (which have approver) then I don't see the request under My Requests. Does the requester needs some authorization to view his/her currently active requests?</blockquote>
<br>
Yes. <br>
<br>
The background is this: Information about an approval process is stored in midPoint task (as well as in Activiti process instance, but that's not important now). In 3.4, we are not able to specify authorization for tasks to allow displaying only the tasks that
 are somehow related to the user. We are limited to quite static conditions, like "show tasks that belong to a (fixed) user", or "show tasks that were requested by a (fixed) user". So, basically, you'd need a separate role for each possible requester, and that's
 obviously a nonsense.<br>
<br>
This more flexible mechanism is to be implemented in 3.5, as per <a href="https://jira.evolveum.com/browse/MID-3121">
https://jira.evolveum.com/browse/MID-3121</a>. (It's little bit unclear if it will really fit into the schedule, but that's another story.)<br>
<br>
As a workaround for 3.4, you could give users read access to workflowContext section of
<i>all</i> tasks. If you disallow non-GUI access for them, and disallow using Task List page, it could be reasonably secure. (Based on the fact that the users will not know tasks' OIDs to access them directly.) But it depends on how secure you want your system
 to be.<br>
<br>
<blockquote type="cite">Can user request to remove the assigned roles? By default it does not seem to work?<br>
</blockquote>
<br>
This is an interesting question. Do you want this operation to be carried out automatically (without approval), or to be approved in the same way as assignment creation?<br>
<br>
<blockquote type="cite">Is it possible in request roles dialog to hide from available roles the roles which have already assigned to user and/or roles which user has already requested but have not yet approved?<br>
</blockquote>
<br>
Currently it is (as far as I know) not implemented. I think it is not a too much work to be done. (Please create a jira if you're interested.)<br>
<br>
There is one aspect that comes to mind: An assignment can be e.g. disabled, or valid only through a period of time, or be bound to a specific org or tenant, or have any parameters that make it different from other assignments of the given role. So there might
 be reason to add a role for which some assignment already exists. Therefore, this feature should be configurable (by administrator, knowing the deployment details), or should be switchable on/off by the user.<br>
<br>
<blockquote type="cite">By default when role is requestable but have no approver the end user can order a role without any approval - is it possible to avoid such situation, eg by defining some kind of policy that when request have no any approving users then
 the administrator still has to approve it?</blockquote>
<br>
Good idea! I am convinced this can be done using authorizations mechanism: To allow end user see only roles that have non-empty approverRef field.<br>
<br>
</div>
</div>
<br>
<hr>
<font face="Arial" color="Gray" size="2">Käesolev e-kiri võib sisaldada asutusesiseseks kasutamiseks tunnistatud teavet.<br>
This e-mail may contain information which is classified for official use.</font> </div>
</div>
</body>
</html>