<div dir="ltr"><div>We have figured out the problem.</div><div><br></div><div>Many of these groups are new, outside midPoint control. Since we do not make routine imports from AD to midPoint, they have no Shadow. <br></div><div>After importing them, the excessive searches stopped, even though they have no purpose in midPoint.</div><div>But midPoint does not create the shadow when recomputing the user, it retrieves the group for nothing, apparently.</div><div><br></div><div>Is there a way to prevent these groups from interfering with midPoint functionalities without having to import them?</div><div><br></div><div>Thanks<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Em qua, 27 de fev de 2019 às 19:47, Alcides Carlos de Moraes Neto <<a href="mailto:alcides.neto@gmail.com">alcides.neto@gmail.com</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>Hello list,</div><div><br></div><div>We're having serious performance issues when reconciling and recomputing users. <br></div><div>One of the problems is excessive calls to ldap Search Group operation for each user.</div><div>For example, a single user with some 50 groups in AD results in 270 calls to search group ldap operation. <br></div><div>We have tried fetchStrategy minimal in the association definition for the user account, but it doesn't make a difference. By logging the AdLdap connector, i can see the same groups being searched multiple times by different threads.</div><div>How can we optimize this? I noticed that enabling the AttributesToGetSearchResultHandler, the fetchStrategy is respected, but all sorts of weird behavior start to happen, like groups not being removed when an authoritative assignment is removed. <br></div><div><br></div><div>Shouldn't midpoint just use the shortcutAssociationAttribute to detect changes needed to entitlement membership?</div><div><br></div><div>Any insight will appreciated, thanks.<br></div><div><br></div><div>Here's our (redacted) association definition. <br></div><div><br></div><div><associatio><br>            <c:ref>ri:group</c:ref><br>            <displayName>AD Group Membership</displayName><br>            <tolerant>true</tolerant><br>            <intolerantValuePattern>.*AutomaticGroups.*</intolerantValuePattern><br>            <exclusiveStrong>false</exclusiveStrong><br>            <fetchStrategy>minimal</fetchStrategy><br>            <kind>entitlement</kind><br>            <intent>intent1</intent><br>            <intent>intent2</intent><br>            <intent>intent3</intent><br>            <direction>objectToSubject</direction><br>            <associationAttribute>ri:member</associationAttribute><br>            <valueAttribute>ri:dn</valueAttribute><br>            <shortcutAssociationAttribute>ri:memberOf</shortcutAssociationAttribute><br>            <shortcutValueAttribute>ri:dn</shortcutValueAttribute><br>            <explicitReferentialIntegrity>false</explicitReferentialIntegrity><br></association><br></div></div></div></div>
</blockquote></div>