<div dir="auto"><p style="font-family:sans-serif;font-size:12.8px">Hi all,</p><p style="font-family:sans-serif;font-size:12.8px"><u></u></p><p style="font-family:sans-serif;font-size:12.8px"><u></u> <u></u></p><p style="font-family:sans-serif;font-size:12.8px">I want to delegate the modification of specific organizations to some selected users.<u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px"><u></u> <u></u></p><p style="font-family:sans-serif;font-size:12.8px">To achieve that, I defined a “organization manager” role that I can assign to users with the Organization reference parameter indicating the organization they are allowed to modify.<u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px"><u></u> <u></u></p><p style="font-family:sans-serif;font-size:12.8px">Below is the authorization, but<b> I can’t manage to find the correct filter to get the oid of the orgRef parameter of the user’s assignment to the “organization manager” role</b>:<u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px"><u></u> <u></u></p><p style="font-family:sans-serif;font-size:12.8px"><role><u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px">...<u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px"><authorization><u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px"><u></u> <u></u></p><p style="font-family:sans-serif;font-size:12.8px">  <name>Organization items modify authorizations</name><u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px">  <action><a href="http://midpoint.evolveum.com/xml/ns/public/security/authorization-model-3#modify" style="text-decoration-line:none;color:rgb(66,133,244)">http://midpoint.evolveum.com/xml/ns/public/security/authorization-model-3#modify</a></action><u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px">  <object><u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px">    <type>OrgType</type><u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px">    <filter>find the oid of the orgRef parameter of the user’s assignment to the “organization manager” role</filter<u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px">  </object><u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px"><u></u> <u></u></p><p style="font-family:sans-serif;font-size:12.8px"></authorization><u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px">...<u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px"></role><u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px"><u></u> <u></u></p><p style="font-family:sans-serif;font-size:12.8px"><u></u> <u></u></p><p style="font-family:sans-serif;font-size:12.8px">Is this the right approach?<u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px"><u></u> <u></u></p><p style="font-family:sans-serif;font-size:12.8px">I tried successfully the <orgRelation> object filter which gives the modify authorization on all organizations assigned to the user with a “manager” relation, but it feels messier.<u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px"><u></u> <u></u></p><p style="font-family:sans-serif;font-size:12.8px"><orgRelation><u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px">    <subjectRelation>org:manager</subjectRelation><u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px">    <scope>allDescendants</scope><u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px">                <includeReferenceOrg>true</includeReferenceOrg><u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px"></orgRelation><u></u><u></u></p><p style="font-family:sans-serif;font-size:12.8px"><u></u> </p></div>