<div dir="ltr">Hey guys, <div><br></div><div>I've been trying to mess around with authorization model to basically achieve the following system roles:</div><div><br></div><div>1. End User: has access to login, review his details and be able to request a role </div><div>2. Approver: the same rights as the End User + access to Work Items and being allowed to approver/reject requests for roles that lists them as an approver </div><div>3. Owner: the same rights as Approver + access to the Roles UI and access to ONLY the roles he is owner for (Read/Modify/Assign/etc) </div><div><br></div><div>The first two are simple to configure and basically come out of the box. However the third is much more complicated. </div><div><br></div><div>In order for an End User to be able to request a role, he has to have the following authorization: </div><div><br></div><div><div>   <authorization></div><div>      <action><a href="http://midpoint.evolveum.com/xml/ns/public/security/authorization-model-3#read">http://midpoint.evolveum.com/xml/ns/public/security/authorization-model-3#read</a></action></div><div>      <object></div><div>         <type>RoleType</type></div><div>      </object></div></div><div>   </authorization> </div><div><br></div><div>Which he needs for two reasons:</div><div>1. To be able to list the roles when requesting a role </div><div>2. To be able to see the "My Assignments" box on the Self Page </div><div><br></div><div>This authorization also works in the same way for the approver which only has extra access to work items. </div><div><br></div><div>However, for the owner, if I enable the List Role, and Role Details UI authorizations, because of the Read on Role Type coming from the End User role assignment, the Owner will see all the roles. And, yes, he only has access to modify the ones he actually owns, however there is no easy indication of which ones he owns. We have over 1000 roles... </div><div><br></div><div>I'm wondering if there is a way of setting up the authorization model so that an owner can still request a role (and thus read all roles), but for the List Roles UI page, only be able to list the ones he actually owns. </div><div><br></div><div>Thanks, </div><div>-F </div></div>