<div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small;color:#073763">Hi Alexander, this topic is discussed here as <a href="https://wiki.evolveum.com/display/midPoint/Role+Explosion">role explosion</a> vs <a href="https://wiki.evolveum.com/display/midPoint/Advanced+Hybrid+RBAC#AdvancedHybridRBAC-ParametricRoles">parametric roles</a>. It's partially supported. What kind of resource is it ? If it is a custom one you can join both values as the role identifier (i.e. group g:read-only) and then split the token received to get both values. It can cause a role explosion but It's a simple solution.</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small;color:#073763"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small;color:#073763">Hope it helps,</div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><font face="arial, helvetica, sans-serif"><br><br><font color="#444444">Ing Nicolás Rossi</font><br><font color="#999999">Identicum S.A.</font><br><font color="#999999">Jorge Newbery 3226</font><br><font color="#999999">Oficina: +54 (11) 4552-3050</font></font></div><div dir="ltr"><font face="arial, helvetica, sans-serif"><font color="#999999">Móvil: +54 (911) 6041-3920<br><a href="http://www.identicum.com" target="_blank">www.identicum.com</a></font></font><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Mar 18, 2019 at 11:35 PM Alexandre Zia <<a href="mailto:alexandre.zia@ifood.com.br">alexandre.zia@ifood.com.br</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr" class="gmail-m_-8569992674950628753gmail_signature"><div dir="ltr"><div><div dir="ltr"><table style="color:rgb(34,34,34);font-style:normal;font-weight:400;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;background-color:rgb(255,255,255);font-size:13px;line-height:normal;font-family:tahoma,geneva,sans-serif" width="630" cellspacing="0" cellpadding="0" border="0"><tbody><tr><td style="font-family:arial,sans-serif;margin:0px">We have a situation were we have a role giving access to a group, through group association, the classic scenario.<br><br>However, in this remote system there is only one group, and you assign this group to a user AND an access role defining if this association will be Admin or read-only.<br><br>Let me explain:<br>In the remote system we have:<br><br>User: A<br>User: B<br><br>Group: G<br><br>User A has group G associated with "Admin" role -> So he is an admin<br>User B has group G associated with "Viewer" role -> So he is read-only user<br><br>So in midpoint I've extended RoleType to add an attribute:  "roleId". (values can be 8 for admin, or 7 for viewer).<br><br>When assigning the role to an user, the group association passes the Group ID to the connector,  as expected,<br>But how can I pass this role attriibute "roleId" together with the groupId in group association?<br><br><br>Thanks in advance.<br>Alexandre<br><br><br><br><br><table width="100%" cellspacing="0" cellpadding="0" border="0"></table></td></tr></tbody></table></div></div></div></div></div>
_______________________________________________<br>
midPoint mailing list<br>
<a href="mailto:midPoint@lists.evolveum.com" target="_blank">midPoint@lists.evolveum.com</a><br>
<a href="http://lists.evolveum.com/mailman/listinfo/midpoint" rel="noreferrer" target="_blank">http://lists.evolveum.com/mailman/listinfo/midpoint</a><br>
</blockquote></div>