<div dir="ltr">Update:<div><br></div><div>If a new user is created without qualifying for the role, they don't get the role. If they acquire the correct attributes to get the role, they appear to have the assignment of the role, but the projection never follows (as described in the first message). However, if we have a user that doesn't qualify for the role, and we manually assign them the role, they receive the role and a projection into the resource, as expected.</div><div><br></div><div>All that to say that the automated assignment of the role and projection to the resource is not working, but manual assignment is fine.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jul 24, 2019 at 3:09 PM Colin Foley <<a href="mailto:caf209@lehigh.edu">caf209@lehigh.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi there,<div><br></div><div>We have set up inducement to Active Directory through the use of a role. We have group synchronization enabled and for existing shadows in AD everything seems to be working (group changes reflected etc). But, projections aren't automatically created for new midPoint users despite our role with the inducement to the resource.</div><div><br></div><div>When viewing one of the newly created users, they have the correct assignment to the role, but they are missing their roleMembershipRef attribute for the role.</div><div><br></div><div>Additionally, we receive the following warning when the user is initially created:</div><div>2019-07-24 14:14:50,664 [] [pool-6-thread-59] WARN (com.evolveum.midpoint.report.impl.ReportManagerImpl): Probably invalid projection context: both old and new objects are null<br><div><br></div><div>When we save the user with Force/Reconcile or we make a change to the user, their projection in AD is created. Although, we do receive this warning:</div><div>2019-07-24 14:57:01,945 [] [pool-6-thread-64] WARN (com.evolveum.midpoint.model.impl.lens.projector.ReconciliationProcessor): Can't do reconciliation. Account context doesn't contain current version of account.<br></div><div><br></div><div>We have another role with an inducement to a resource that works as expected: new users are given projections into the resource during creation.</div><div><br></div><div>Lastly, in the GUI during the creation of the user with Keep Results Displayed, it lists our Account (default) on Active Directory (AD LDAP) as an item, but it is the only entry in the table that doesn't get a green check-mark under Status and there is no corresponding "Resource object (if applicable)" entry.</div><div><br></div><div>Has anyone encountered something similar or can anyone provide guidance on how to troubleshoot?</div><div><br></div>-- <br><div dir="ltr" class="gmail-m_5169996019620188853gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div>Colin A Foley, CISSP</div><div><div><div>Information Security Architect</div><div>(610) 758-3072</div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div>Colin A Foley, CISSP</div><div><div><div>Information Security Architect</div><div>(610) 758-3072</div></div></div></div></div></div></div></div></div></div></div></div></div>