<div dir="ltr"><div dir="ltr">Hi Rainer,</div><div dir="ltr"><br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"> I want to bind these technical <br>
accounts to a person, that is responsible for that account. One person can <br>
be responsible for more than one technical account.</blockquote><div><br></div><div>It's been done many times, however I don't know of any native construct that supports this. Creating a service/role object per account and assigning these to user objects works. </div><div><br></div><div>You might link multiple resource accounts to single user/focus object, but the functionality is only literally half implemented sofar, only inbound mappings work. Modeling with personas or shadow intents is imho limited to a fixed set of occurrences, no 1..n, just 1..fixed-k.</div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Further, I want to be <br>
able to disable the accounts depending of the state of the responsible user.<br></blockquote><div><br></div><div>You will need model  hooks to synchronize the state - check the delta for specific attribute change (administrative or effective status in your case) and update all service accounts. As something may go wrong during the updates, you will need a periodic task checking and repairing state consistency. It's clumsy, but it works. If anybody knows any other solution, please share.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
The service accounts should be synchronized between several ressources, i.e. <br>
LDAP and the mail system.<br></blockquote><div><br></div><div>No problem for service or role as focus having resource accounts.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
These accounts need also passwords etc. </blockquote><div><br></div><div>This may have improved during recent 4.0 updates, but generating passwords for non-user focus objects in schemaHandling/credentials was not supported, you had to do it by custom hook again. Please check the current state with role/service objects yourself.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">and some attributes should be <br>
checked for uniqueness for all accounts, i.e. mail addresses.<br></blockquote><div><br></div><div>Should be ok, when generating attribute values, you can use midpoint.isUniquePropertyValue to checks whatever attribute and entity you like. </div><div><br></div><div>Good luck</div><div>arnost</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
I have read about the Service Account Management in MidPoint:<br>
<a href="https://wiki.evolveum.com/display/midPoint/Service+Account+Management" rel="noreferrer" target="_blank">https://wiki.evolveum.com/display/midPoint/Service+Account+Management</a><br>
But I am not sure will this do the task, e.g. is it possible to check for <br>
the email address uniqueness betwenn normal user`s accounts and service <br>
accounts.<br>
<br>
What would you advice?<br>
- Import these accounts into user objects?<br>
- Link the technical accounts to existing users?<br>
- Or extend the service schema with POSIX attributes like numerical UID and <br>
email adresses?<br>
- Is there an easy way to enforce uniqueness to attributes in different <br>
object types?<br>
<br>
Heap of questions... ;-)<br>
<br>
TIA!<br>
<br>
<br>
Rainer Herbst<br>
Leiter IT-Service<br>
Phone: +49 331 7499-257<br>
e-mail: <a href="mailto:rainer.herbst@aip.de" target="_blank">rainer.herbst@aip.de</a><br>
<a href="https://www.aip.de" rel="noreferrer" target="_blank">https://www.aip.de</a><br>
<br>
-----------------------------------------------------------------------------------------------<br>
Leibniz-Institut für Astrophysik Potsdam (AIP)<br>
An der Sternwarte 16, 14482 Potsdam<br>
<br>
Vorstand: Prof. Dr. Matthias Steinmetz, Matthias Winker<br>
Stiftung bürgerlichen Rechts<br>
Stiftungsverzeichnis Brandenburg: 26 742-00/7026<br>
-----------------------------------------------------------------------------------------------<br>
_______________________________________________<br>
midPoint mailing list<br>
<a href="mailto:midPoint@lists.evolveum.com" target="_blank">midPoint@lists.evolveum.com</a><br>
<a href="http://lists.evolveum.com/mailman/listinfo/midpoint" rel="noreferrer" target="_blank">http://lists.evolveum.com/mailman/listinfo/midpoint</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:13px"><p><strong>Arnošt Starosta</strong><br><span style="font-size:11px;color:rgb(128,128,128)">solution architect</span></p></div><p style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:11px">gsm: [+420] 603 794 932<br>e‑mail: <a href="mailto:arnost.starosta@ami.cz" target="_blank">arnost.starosta@ami.cz</a></p><p style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:11px"><strong>AMI Praha a.s.</strong><br>Pláničkova 11, 162 00 Praha 6</p><p style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:11px">tel.: [+420] 274 783 239 | web: <a href="https://www.ami.cz" target="_blank">www.ami.cz</a></p><p style="color:rgb(0,0,0);font-family:Verdana,Arial,Helvetica,sans-serif;font-size:10px;margin-top:20px"><img src="http://www.ami.cz/images/podpis/ami_logo.gif" alt="AMI Praha a.s." style="border: 0px;"></p><p style="font-family:Arial,sans-serif;font-size:11px;color:rgb(170,170,170)">Textem tohoto e‑mailu podepisující neslibuje uzavřít ani neuzavírá za společnost AMI Praha a.s.<br>jakoukoliv smlouvu. Každá smlouva, pokud bude uzavřena, musí mít výhradně písemnou formu.<br><span style="font-size:6px"> </span><br>Tento e‑mail je určen výhradně pro potřeby jeho adresáta/ů a může obsahovat důvěrné nebo osobní<br>informace. Nejste‑li zamýšleným příjemcem, je zakázáno jakékoliv zveřejňování, zprostředkování<br>nebo jiné použití těchto informací. Pokud jste obdrželi e‑mail neoprávněně, informujte o tom prosím<br>odesílatele a vymažte neprodleně všechny kopie tohoto e‑mailu včetně všech jeho příloh. Nakládáním<br>s neoprávněně získanými informacemi se vystavujete riziku právního postihu.</p></div></div></div></div></div>