<div style="font-family: Arial, sans-serif; font-size: 14px;">Dear community,</div><div style="font-family: Arial, sans-serif; font-size: 14px;">I am trying to implement AD groups in MP v. 4.8.7 and have issues.<br><br><p data-start="47" data-end="64"><strong data-start="47" data-end="64">Our Requirements:</strong></p><ol data-start="65" data-end="286" data-listchain="__List_Chain_26"><li data-start="65" data-end="105"><p data-start="68" data-end="105">AD accounts are provisioned as users.</p></li><li data-start="106" data-end="182"><p data-start="109" data-end="182">AD groups are provisioned as entitlements (Archetype - application role).</p></li><li data-start="183" data-end="286"><p data-start="186" data-end="286">We’ve attempted to set up associations for account and group in resource types (following examples).</p></li></ol><p data-start="288" data-end="303"><strong data-start="288" data-end="303">Results:</strong></p><ol data-start="304" data-end="867" data-listchain="__List_Chain_27"><li data-start="304" data-end="393"><p data-start="307" data-end="393">Provisioning and reconciliation of users and groups work correctly in both directions.</p></li><li data-start="394" data-end="867"><p data-start="397" data-end="867">Assignment issues:
<br>a. When a user is assigned to a group in AD, the corresponding role is assigned to user in MidPoint, which is correct.
<br>b. When a user is removed from a group in AD, the role in MidPoint remains assigned. If I set the range to <code data-start="637" data-end="667"><predefined>all</predefined></code>, roles are removed, but this also deletes all roles, including non-AD roles. I also tried the "tolerate" setting, but with no success.
<br>c. Adding or removing a role in MidPoint has no effect on AD.</p></li></ol><p data-start="869" data-end="1039">Could someone provide insight into what might be going wrong? I’ve compared the configurations with different examples but haven’t identified any significant differences.</p>With best regards,</div><div style="font-family: Arial, sans-serif; font-size: 14px;">Mike</div><div class="protonmail_signature_block" style="font-family: Arial, sans-serif; font-size: 14px;">
</div>