<div style="font-family: Arial, sans-serif; font-size: 14px;">Hi,</div><div style="font-family: Arial, sans-serif; font-size: 14px;"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px;">What is supposed to happen if a Role assignment automatically is changing from enabled to disabled?</div><div style="font-family: Arial, sans-serif; font-size: 14px;"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px;">I've been testing role requests with a Validity set and find the behaviour a bit odd.</div><div style="font-family: Arial, sans-serif; font-size: 14px;"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px;">The setup is like this:</div><div style="font-family: Arial, sans-serif; font-size: 14px;">I have a requestable business role that induces three roles. These three roles adds a group membership to three different groups in LDAP/FreeIPA. i.e one business role adds/removes user to three different groups.</div><div style="font-family: Arial, sans-serif; font-size: 14px;"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px;">When the request is made, I see the new role with the Activation set to enabled and the period/duration it is valid. </div><div style="font-family: Arial, sans-serif; font-size: 14px;">If I check "All direct/indirect assignments" I see the indirect roles/group memberships as expected. </div><div style="font-family: Arial, sans-serif; font-size: 14px;">When the validity is passed, the role changes to disabled as expected. Checking the "All direct/indirect assignments" I can see that the indirect assignment for this role is gone. </div><div style="font-family: Arial, sans-serif; font-size: 14px;">However, the group-membership in LDAP/FreeIPA is still there. Not good.</div><div style="font-family: Arial, sans-serif; font-size: 14px;"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px;">If I, as admin, manually go and change a validity period of an enabled role assignment so that it becomes disabled (i.e. change date or time to a passed point). Then, when I save the user, the group memberships are removed.</div><div style="font-family: Arial, sans-serif; font-size: 14px;"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px;">But, the automatic unassignment does not. Reconciliation does not fix it.</div><div style="font-family: Arial, sans-serif; font-size: 14px;">If I unassign the disabled role, the user's group memberships are still there (I assume since the connection to the subroles/inducements are gone)</div><div style="font-family: Arial, sans-serif; font-size: 14px;"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px;">Since a manual change works but the automatic does not, is there a bug or a configuration I've not set?</div><div style="font-family: Arial, sans-serif; font-size: 14px;"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px;">Thanks,</div><div style="font-family: Arial, sans-serif; font-size: 14px;">Markus</div><div class="protonmail_signature_block" style="font-family: Arial, sans-serif; font-size: 14px;">
    
            <div class="protonmail_signature_block-proton protonmail_signature_block-empty">
        
            </div>
</div>