<div style="font-family: Arial, sans-serif; font-size: 14px;">Hi,</div><div style="font-family: Arial, sans-serif; font-size: 14px;"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px;">is there a way to "highlight" or report when an account has i.e. a group-membership that is not assigned by midPoint.</div><div style="font-family: Arial, sans-serif; font-size: 14px;">So, what if an admin adds a user to a group directly in LDAP, what is the best way to find these, from midPoints point of view, "unassigned" entitlements?</div><div style="font-family: Arial, sans-serif; font-size: 14px;">I guess to somehow compare the associations with the assigned roles</div><div style="font-family: Arial, sans-serif; font-size: 14px;"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px;">I know I can set the <tolerant>-tag to false, and any out-of-midPoint/unassigned entitlements  a user has would be removed the next import/reconciliation. </div><div style="font-family: Arial, sans-serif; font-size: 14px;">Before doing that, I'd like midPoint to do scheduled reports for a specific resource to see if there are any admins doing things they shouldn't.</div><div style="font-family: Arial, sans-serif; font-size: 14px;"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px;"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px;">TiA</div><div style="font-family: Arial, sans-serif; font-size: 14px;">Markus</div><div style="font-family: Arial, sans-serif; font-size: 14px;" class="protonmail_signature_block">

            <div class="protonmail_signature_block-proton protonmail_signature_block-empty">

            </div>
</div>