<div dir="ltr"><div dir="ltr">I found you can use a condition on the inbound sync of the association, all is well now with tolerant  = false</div><div dir="ltr"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><br></div></div></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Mar 1, 2019 at 9:50 AM Jason Everling <<a href="mailto:jeverling@bshp.edu">jeverling@bshp.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>I am finally getting around to midpoint enforcing ad groups and group membership for users and roles but I have a a bug I guess I am trying to work around.</div><div><br></div><div>When modifying a group with tolerant false, it tries to remove the metarole assignment because it is not a valid group in ad and of course the assignment is 'strong' so it errors and stops. If I remove the strong from the metarole assignment the metarole itself gets removed :(</div><div><br></div><br clear="all"><div><div dir="ltr" class="gmail-m_-9007206462771782057gmail_signature"><div dir="ltr">JASON</div></div></div></div>
</blockquote></div></div>