<div dir="ltr">Thank you Fabian,<div>I will take a look at triggers. <br><div><br></div><div>About your second option:</div><div>A user already has an appropriate role auto-assigned. During role assignment the role created an AD account based on parentOrgRef set previously. After, I reconcile the user and assign another org instead of the one mentioned before. In result the user still has the same AD account based on data from the first org. So, after this reconciliation I have inconsistency: parentOrgRef is updated but AD account isn't. I could probably check the equivalence of parentOrgRef and assignment.targetRef somewhere in condition but I am afraid I can get a role or account 

revoked.</div><div><br></div><div><br></div><div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 5 Apr 2022 at 14:29, Fabian Noll-Dukiewicz <<a href="mailto:fabian.noll-dukiewicz@fndit.de">fabian.noll-dukiewicz@fndit.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<div dir="ltr">

<div style="font-family:Calibri,Arial,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">

Hi Yakov,</div>

<div style="font-family:Calibri,Arial,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">

<br>

</div>

<div style="font-family:Calibri,Arial,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">

I think you have multiple options to handle this requirement but it  depends on your configuration. In my mind you can use trigger to start a recomputation of the affected user. (take a look on linked objects: <a href="https://docs.evolveum.com/midpoint/reference/synchronization/linked-objects/" id="gmail-m_-8212504199467955368LPNoLPOWALinkPreview" target="_blank">https://docs.evolveum.com/midpoint/reference/synchronization/linked-objects/</a>)</div>

<div></div>

<div style="font-family:Calibri,Arial,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">

Another possibility is to separate the two things. First setting the parentOrgRef in resource synchronization and second do the account creation (e.g. based on role assignment) in object template or by automatic role assignment.</div>

<div style="font-family:Calibri,Arial,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">

<br>

</div>

<div style="font-family:Calibri,Arial,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">

Hope to give you some hints to make some progress.</div>

<div style="font-family:Calibri,Arial,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">

<br>

</div>

<div style="font-family:Calibri,Arial,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">

Kind regards,</div>

<div style="font-family:Calibri,Arial,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">

Fabian</div>

<div>

<div id="gmail-m_-8212504199467955368appendonsend"></div>

<div style="font-family:Calibri,Arial,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">

<br>

</div>

<hr style="display:inline-block;width:98%">

<div id="gmail-m_-8212504199467955368divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" color="#000000" style="font-size:11pt"><b>Von:</b> Yakov Revyakin <<a href="mailto:yrevyakin@gmail.com" target="_blank">yrevyakin@gmail.com</a>><br>

<b>Gesendet:</b> Montag, 4. April 2022 16:42<br>

<b>An:</b> midPoint General Discussion <<a href="mailto:midpoint@lists.evolveum.com" target="_blank">midpoint@lists.evolveum.com</a>><br>

<b>Betreff:</b> Re: [midPoint] How to actualize an account based on parentOrgRef</font>

<div> </div>

</div>

<div>

<div dir="ltr">Can someone help with my question?

<div>To actualize a user's AD account I run reconciliation with the user's HR source twice: first - to assign a parent org to the user, second - to create an account based on the parent org (because parentOrgRef is empty during first run).</div>

<div>Is it possible to configure the same effect running reconciliation only once?    </div>

<div>Thanks,</div>

<div>J</div>

</div>

<br>

<div>

<div dir="ltr">On Sun, 3 Apr 2022 at 19:56, Yakov Revyakin <<a href="mailto:yrevyakin@gmail.com" target="_blank">yrevyakin@gmail.com</a>> wrote:<br>

</div>

<blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<div dir="ltr">Hi,

<div><br>

</div>

<div>AD shemaHandling recalculates user's AD account DN based on a value of parentOrgRef. If I assign another org instead of the previous recalculation doesn't happen because, as I understand, parentOrgRef gets updated value after a phase when MP calculates

 projections. So, I need to reconcile the user additionally to actualize the AD account.</div>

<div>Is this the right suggestion?</div>

<div>Can I manage this situation to have an actual state during a single import excluding extra recon?  </div>

<div>Thanks,</div>

<div>J</div>

<div><br>

</div>

<div><br>

</div>

</div>

</blockquote>

</div>

</div>

</div>

</div>

</blockquote></div>