<div dir="ltr"><div>Authorization "...<b>authorization-model-3#assign</b>" work fine but show "<span style="color:rgb(51,51,51);font-family:monospace;font-size:11px;white-space:pre-wrap">UnsupportedOperationException: Inefficient roleRelation search (includeReferenceRole=true) is not supported yet</span>".</div><div>Midpoint 3.9, Oracle Java 8, Linux.</div><div> </div><div><b>Definition of authorization:</b></div><div><font face="courier new, monospace">      <authorization><br>        <phase>request</phase><br>        <decision>allow</decision><br>        <action><a href="http://midpoint.evolveum.com/xml/ns/public/security/authorization-model-3#assign">http://midpoint.evolveum.com/xml/ns/public/security/authorization-model-3#assign</a></action><br>        <object><br>            <type>RoleType</type><br>        </object><br>        <target><br>            <type>RoleType</type><br>         <roleRelation><br>                <subjectRelation>org:owner</subjectRelation><br>                <includeMembers>false</includeMembers><br>                <includeReferenceRole>true</includeReferenceRole><br>         </roleRelation><br>        </target><br>      </authorization></font><br></div><div><br></div><div><b>Use-case:</b> Logged user "A" is owner of role "B". User is trying on role "C" add assignment to role "B".<br></div><div><br></div><div><b>Result: </b>assignment is created OK but GUI shows Exception:</div><div><div><img src="cid:ii_jxdd9ijj0" alt="image.png" style="margin-right: 0px;"><br></div></div><div><br></div><div>Can I make some adjustments in authorization to prevent show this exception?</div><div><br></div><div><b>Note:</b> The same definition of authorization with "unassign" (<a href="http://midpoint.evolveum.com/xml/ns/public/security/authorization-model-3#unassign">http://midpoint.evolveum.com/xml/ns/public/security/authorization-model-3#unassign</a>) works without exception.</div><div><br></div><div>Thank You.</div><div>Tomas</div><div><br></div><br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:13px"><p><strong>Tomáš Mráz</strong><br><span style="font-size:11px;color:rgb(128,128,128)">system specialist</span></p></div><p style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:11px">gsm: [+420] 776 331 822<br>e‑mail: <a href="mailto:tomas.mraz@ami.cz" target="_blank">tomas.mraz@ami.cz</a></p><p style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:11px"><strong>AMI Praha a.s.</strong><br>Pláničkova 11, 162 00 Praha 6</p><p style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:11px">tel.: [+420] 274 783 239 | web: <a href="https://www.ami.cz/" target="_blank">www.ami.cz</a></p><p style="color:rgb(0,0,0);font-family:Verdana,Arial,Helvetica,sans-serif;font-size:10px;margin-top:20px"><img src="http://www.ami.cz/images/podpis/ami_logo.gif" alt="AMI Praha a.s." style="border:0px"></p><p style="font-family:Arial,sans-serif;font-size:11px;color:rgb(170,170,170)">Textem tohoto e‑mailu podepisující neslibuje uzavřít ani neuzavírá za společnost AMI Praha a.s.<br>jakoukoliv smlouvu. Každá smlouva, pokud bude uzavřena, musí mít výhradně písemnou formu.<br><span style="font-size:6px"> </span><br>Tento e‑mail je určen výhradně pro potřeby jeho adresáta/ů a může obsahovat důvěrné nebo osobní<br>informace. Nejste‑li zamýšleným příjemcem, je zakázáno jakékoliv zveřejňování, zprostředkování<br>nebo jiné použití těchto informací. Pokud jste obdrželi e‑mail neoprávněně, informujte o tom prosím<br>odesílatele a vymažte neprodleně všechny kopie tohoto e‑mailu včetně všech jeho příloh. Nakládáním<br>s neoprávněně získanými informacemi se vystavujete riziku právního postihu.</p></div></div></div></div>