
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:Consolas;


        panose-1:2 11 6 9 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;


        color:black;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:#0563C1;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:#954F72;


        text-decoration:underline;}


p


        {mso-style-priority:99;


        mso-margin-top-alt:auto;


        margin-right:0in;


        mso-margin-bottom-alt:auto;


        margin-left:0in;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;


        color:black;}


pre


        {mso-style-priority:99;


        mso-style-link:"HTML Preformatted Char";


        margin:0in;


        margin-bottom:.0001pt;


        font-size:10.0pt;


        font-family:"Courier New";


        color:black;}


span.HTMLPreformattedChar


        {mso-style-name:"HTML Preformatted Char";


        mso-style-priority:99;


        mso-style-link:"HTML Preformatted";


        font-family:Consolas;


        color:black;}


p.msonormal0, li.msonormal0, div.msonormal0


        {mso-style-name:msonormal;


        mso-style-priority:99;


        mso-margin-top-alt:auto;


        margin-right:0in;


        mso-margin-bottom-alt:auto;


        margin-left:0in;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;


        color:black;}


span.EmailStyle21


        {mso-style-type:personal;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


span.EmailStyle22


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:#1F497D;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body bgcolor="white" lang="EN-US" link="#0563C1" vlink="#954F72">


<div class="WordSection1">


<p class="MsoNormal"><span style="color:#1F497D">Thanks Ivan.  I did that and it still wouldn’t work.  I decided to create a new Metarole and role using your suggestion and got everything working.  Looking at the shadow record in the database I noticed that


 the new one had the correct intent in the shadow whereas the first one still showed an incorrect intent.  I went into Repository Objects and changed the intent in the shadow record and magically the group began populating correctly.  This probably could have


 been fixed if I’d just deleted and recreated the original role.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D">I don’t know why the shadow record had the wrong intent.  I must have created the one way and when I changed it, the shadow record didn’t update. 


<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D">Anyway, all is working now.  Thanks for your help.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>


<div>


<p class="MsoNormal"><span style="color:#1F497D">--Rod<o:p></o:p></span></p>


</div>


<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">


<p class="MsoNormal"><b><span style="color:windowtext">From:</span></b><span style="color:windowtext"> midPoint <midpoint-bounces@lists.evolveum.com>


<b>On Behalf Of </b>Ivan Noris<br>


<b>Sent:</b> Wednesday, April 17, 2019 3:31 AM<br>


<b>To:</b> midpoint@lists.evolveum.com<br>


<b>Subject:</b> Re: [midPoint] Role and Metarole with Existing AD Group<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<p>Hi Rod,<span style="font-size:12.0pt"><o:p></o:p></span></p>


<p>I would recommend to double-check the synchronization settings for the groups in AD resource. If the intent you get while synchronizing ("already exists -> link) this is probably the correct place. midPoint must be able to detect that the group you try to


 create is actually the one which already exists - and will create a linkRef between the role and the group object.<o:p></o:p></p>


<p>Best regards,<o:p></o:p></p>


<p>Ivan<o:p></o:p></p>


<div>


<p class="MsoNormal">On 16. 4. 2019 18:43, Rod Holman wrote:<o:p></o:p></p>


</div>


<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">


<p class="MsoNormal">Greetings,<o:p></o:p></p>


<p class="MsoNormal"> <o:p></o:p></p>


<p class="MsoNormal">We are using Metaroles and Roles as described in "Active Directory Group Sync" in the HOWTO section of the documentation.  This works great as long as the group does not already exist in AD.  When we create a role and assign the metarole


 the group is created in AD and any user assigned that role is added to the group.  Works great.  We're trying, however, to create a role with the name of a group that already exists in AD and has members.  When we assign the metarole to this role it appears


 to link OK, but when the role is assigned to a user nothing happens.  The user is not added to the group.  When we look at the shadow record the “intent” field has a value that is not what we put in the Construction section of the inducement.  Is there something


 different that has to be done to use metaroles with previously existing and populated AD groups?<o:p></o:p></p>


<p class="MsoNormal"> <o:p></o:p></p>


<p class="MsoNormal">If any of our definitions are needed for review please let me know.<o:p></o:p></p>


<p class="MsoNormal"> <o:p></o:p></p>


<p class="MsoNormal">Thanks,<o:p></o:p></p>


<p class="MsoNormal"> <o:p></o:p></p>


<p class="MsoNormal">Rod Holman<o:p></o:p></p>


<p class="MsoNormal">Ottawa Area ISD<o:p></o:p></p>


<p class="MsoNormal"> <o:p></o:p></p>


<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif"><br>


<br>


<o:p></o:p></span></p>


<pre>_______________________________________________<o:p></o:p></pre>


<pre>midPoint mailing list<o:p></o:p></pre>


<pre><a href="mailto:midPoint@lists.evolveum.com">midPoint@lists.evolveum.com</a><o:p></o:p></pre>


<pre><a href="http://lists.evolveum.com/mailman/listinfo/midpoint">http://lists.evolveum.com/mailman/listinfo/midpoint</a><o:p></o:p></pre>


</blockquote>


<pre>-- <o:p></o:p></pre>


<pre>Ivan Noris<o:p></o:p></pre>


<pre>Senior Identity Engineer<o:p></o:p></pre>


<pre>evolveum.com<o:p></o:p></pre>


</div>


</body>


</html>