<div dir="ltr">Hello!<br>I'm stuck with a problem that I can't solve.<br><br>I assign a role to a user. This role contains the AD group through inducements. It creates BOTH direct and indirect assignments to the user.<br>Then, when a role is revoked, the indirect assignment is revoked, but the direct assignment still exists.<br>I'm trying to ensure that when assigning a role with an Active Directory group to a user, only an indirect assignment is created.<br><br>This may be due to the association block in the connector settings.<br>The definition of the inbound rule in the association section is one to one as in example number two from here <a href="https://docs.evolveum.com/midpoint/reference/support-4.8/expressions/mappings/inbound-mapping/">https://docs.evolveum.com/midpoint/reference/support-4.8/expressions/mappings/inbound-mapping/</a>.<br>Using this rule, I synchronize the assignments of accounts changed directly on the target system, bypassing IDM.<br><br>Does anyone have any ideas on how to implement this?<br></div>