
<html>

  <head>

    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <div class="moz-cite-prefix">I agree that supporting this will be

      good. Could you please create JIRA for it? I likely won't be able

      to look at it before 1.5 release, but hopefully it should be

      possible for 1.6 release (which is around end of September or

      begin of October or so). <br>

      <br>

      Question: are your Group1 and Group1.1 in same branch of LDAP tree

      (in other words, you are using same Role mapper for both)?<br>

      <br>

      I am actually thinking about 2 possible approaches for implement

      it. Both have some pros and cons:<br>

      1) Recursively search LDAP during each search of user memberships<br>

      2) Use Keycloak composite roles<br>

      <br>

      In both cases, it will be some option on RoleMapper, so it's

      possible to enable/disable this behaviour on demand.<br>

      <br>

      Thanks,<br>

      Marek<br>

      <br>

      On 01/09/15 11:31, Andrzej Goławski wrote:<br>

    </div>

    <blockquote

cite="mid:CAA0ckM4uUOpkzrAwX1ML=qP8hrsr4aySiV5iT7JAG9d543DOSg@mail.gmail.com"

      type="cite">

      <div dir="ltr">

        <div style="font-size:13px">Hi,</div>

        <div style="font-size:13px"><br>

        </div>

        <div style="font-size:13px">I'm trying to deploy keycloak in my

          company as primary SSO solution with AD underneath.</div>

        <div style="font-size:13px"><br>

        </div>

        <div style="font-size:13px">In our company AD groups contain

          other groups as members.</div>

        <div style="font-size:13px"><br>

        </div>

        <div style="font-size:13px">e.g.:</div>

        <div style="font-size:13px">Let assume that we have Group1,

          Group1.1. and TestUser.</div>

        <div style="font-size:13px"><br>

        </div>

        <div style="font-size:13px">Group1 has Group1.1 as a member and

          Group 1.1 contains user TestUser. </div>

        <div style="font-size:13px">In that configuration after

          importing AD users to Keycloak, TestUser should have two

          roles: Group1 has Group1.1. But unfortunately it has only

          Group1.1.</div>

        <div style="font-size:13px"><br>

        </div>

        <div style="font-size:13px">I'm not an AD expert but I hope I've

          managed to explain the problem well enough.</div>

        <div style="font-size:13px"><br>

        </div>

        <div style="font-size:13px">This is very important feature for

          my company and I wonder to know if you are to solve this

          problem in the nearest feature?</div>

        <div style="font-size:13px"><br>

        </div>

        <div style="font-size:13px">Best Regards,</div>

        <div style="font-size:13px"> Andrzej</div>

      </div>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">_______________________________________________

keycloak-dev mailing list

<a class="moz-txt-link-abbreviated" href="mailto:keycloak-dev@lists.jboss.org">keycloak-dev@lists.jboss.org</a>

<a class="moz-txt-link-freetext" href="https://lists.jboss.org/mailman/listinfo/keycloak-dev">https://lists.jboss.org/mailman/listinfo/keycloak-dev</a></pre>

    </blockquote>

    <br>

  </body>

</html>