<div dir="ltr"><div dir="ltr">Hi Alcides,<div><br></div><div>i don't see the problem with your org/role hierarchy, but if the role gets evaluated too many times, role idempotence configuration always comes to mind</div><div><br></div><div><a href="https://wiki.evolveum.com/display/midPoint/Roles+and+Policies+Configuration#RolesandPoliciesConfiguration-IdempotentRoles">https://wiki.evolveum.com/display/midPoint/Roles+and+Policies+Configuration#RolesandPoliciesConfiguration-IdempotentRoles</a><br></div><div><br></div><div>If you don't need the metarole evaluated for every single assignment path, try setting idempotence to conservative or aggressive.</div><div><br></div><div>But maybe you don't have 1500 assignment paths on a single user and then I just don't know.</div><div><br></div><div>arnost</div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">út 19. 2. 2019 v 22:31 odesílatel Alcides Carlos de Moraes Neto <<a href="mailto:alcides.neto@gmail.com">alcides.neto@gmail.com</a>> napsal:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div>Hello list,</div><div><br></div><div>We have a very simple metarole that is applied to Roles in order to turn them into AD groups, done based on the documentation example (<a href="https://wiki.evolveum.com/display/midPoint/Roles,+Metaroles+and+Generic+Synchronization#Roles,MetarolesandGenericSynchronization-Higher-OrderInducements" target="_blank">https://wiki.evolveum.com/display/midPoint/Roles,+Metaroles+and+Generic+Synchronization#Roles,MetarolesandGenericSynchronization-Higher-OrderInducements</a>). <br></div><div><br></div><div>We extend it, adding more inducements with associationFromLink. In total, there are 10 order=2 inducements. One for simple user account membership. Another for group-group membership, and the other 8 are for Org types, one for each AD projection that orgs can have. For these, there are script conditions that check for some assignment fields values.</div><div><br></div><div>It all works just fine, however it performs horribly. When making changes or recomputing a user with very few assignments, just a Org and a group, the invocation count for this Metarole can reach 1500 calls. Each call is fast, but they add up to 500ms sometimes.</div><div><br></div><div>This will not happen for users with no Org assigned. It seems midPoint goes 'nuts' and validates this metarole for every Org up in the organization tree. We do have a fairly complex Org Tree, with almost 1300 Orgs. But all the inducements are order=2, shoulnd't only the immediate Org be validated?</div><div><br></div><div>Any help here will be appreciated, thanks.<br></div><div><br></div><div><br></div></div></div>
_______________________________________________<br>
midPoint mailing list<br>
<a href="mailto:midPoint@lists.evolveum.com" target="_blank">midPoint@lists.evolveum.com</a><br>
<a href="http://lists.evolveum.com/mailman/listinfo/midpoint" rel="noreferrer" target="_blank">http://lists.evolveum.com/mailman/listinfo/midpoint</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:13px"><p><strong>Arnošt Starosta</strong><br><span style="font-size:11px;color:rgb(128,128,128)">solution architect</span></p></div><p style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:11px">gsm: [+420] 603 794 932<br>e‑mail: <a href="mailto:arnost.starosta@ami.cz" target="_blank">arnost.starosta@ami.cz</a></p><p style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:11px"><strong>AMI Praha a.s.</strong><br>Pláničkova 11, 162 00 Praha 6</p><p style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:11px">tel.: [+420] 274 783 239 | web: <a href="https://www.ami.cz" target="_blank">www.ami.cz</a></p><p style="color:rgb(0,0,0);font-family:Verdana,Arial,Helvetica,sans-serif;font-size:10px;margin-top:20px"><img src="http://www.ami.cz/images/podpis/ami_logo.gif" alt="AMI Praha a.s." style="border: 0px;"></p><p style="font-family:Arial,sans-serif;font-size:11px;color:rgb(170,170,170)">Textem tohoto e‑mailu podepisující neslibuje uzavřít ani neuzavírá za společnost AMI Praha a.s.<br>jakoukoliv smlouvu. Každá smlouva, pokud bude uzavřena, musí mít výhradně písemnou formu.<br><span style="font-size:6px"> </span><br>Tento e‑mail je určen výhradně pro potřeby jeho adresáta/ů a může obsahovat důvěrné nebo osobní<br>informace. Nejste‑li zamýšleným příjemcem, je zakázáno jakékoliv zveřejňování, zprostředkování<br>nebo jiné použití těchto informací. Pokud jste obdrželi e‑mail neoprávněně, informujte o tom prosím<br>odesílatele a vymažte neprodleně všechny kopie tohoto e‑mailu včetně všech jeho příloh. Nakládáním<br>s neoprávněně získanými informacemi se vystavujete riziku právního postihu.</p></div></div></div></div>