NAV-23889: Bedre feilmelding ved manglende tilgang til person/personer (#5179)

bragejahren · web-flow · commit 4a620c7f1807 · 2025-03-20T14:06:00.000Z
Favro: [NAV-23889 ](https://favro.com/organization/98c34fb974ce445eac854de0/1844bbac3b6605eacc8f5543?card=NAV-23889) ### 💰 Hva skal gjøres, og hvorfor? Justerer eksisterende og legger til manglende `frontendFeilmelding` dersom tilgangssjekk til person/personer feiler. Tar i bruk feltet `begrunnelse` som nå vil inneholde en bedre begrunnelse på hvorfor saksbehandler ikke har tilgang. [Relatert endring i frontend.](navikt/familie-ba-sak-frontend#3614) ### ✅ Checklist - [ ] Jeg har testet mine endringer i henhold til akseptansekriteriene 🕵️ - [ ] Jeg har config- eller sql-endringer. - [x] Jeg har skrevet tester.
diff --git a/src/main/kotlin/no/nav/familie/ba/sak/sikkerhet/TilgangService.kt b/src/main/kotlin/no/nav/familie/ba/sak/sikkerhet/TilgangService.kt
@@ -2,6 +2,7 @@ package no.nav.familie.ba.sak.sikkerhet
 
 import no.nav.familie.ba.sak.common.Feil
 import no.nav.familie.ba.sak.common.RolleTilgangskontrollFeil
+import no.nav.familie.ba.sak.common.Utils.slåSammen
 import no.nav.familie.ba.sak.common.validerBehandlingKanRedigeres
 import no.nav.familie.ba.sak.config.AuditLoggerEvent
 import no.nav.familie.ba.sak.config.BehandlerRolle
@@ -12,6 +13,7 @@ import no.nav.familie.ba.sak.kjerne.behandling.domene.BehandlingStatus
 import no.nav.familie.ba.sak.kjerne.fagsak.FagsakService
 import no.nav.familie.ba.sak.kjerne.grunnlag.personopplysninger.PersongrunnlagService
 import no.nav.familie.ba.sak.kjerne.steg.StegType
+import no.nav.familie.kontrakter.felles.tilgangskontroll.Tilgang
 import org.springframework.stereotype.Service
 
 @Service
@@ -62,25 +64,27 @@ class TilgangService(
         event: AuditLoggerEvent,
     ) {
         personIdenter.forEach { auditLogger.log(Sporingsdata(event, it)) }
-        if (!harTilgangTilPersoner(personIdenter)) {
+        val tilgangerTilPersoner = sjekkTilgangTilPersoner(personIdenter)
+        if (!harTilgangTilAllePersoner(tilgangerTilPersoner)) {
+            val adressebeskyttelsegraderingEllerNavAnsatt = tilgangerTilPersoner.tilBegrunnelserForManglendeTilgang()
             throw RolleTilgangskontrollFeil(
                 melding =
                     "Saksbehandler ${SikkerhetContext.hentSaksbehandler()} " +
-                        "har ikke tilgang.",
+                        "har ikke tilgang. $adressebeskyttelsegraderingEllerNavAnsatt.",
                 frontendFeilmelding =
                     "Saksbehandler ${SikkerhetContext.hentSaksbehandler()} " +
-                        "har ikke tilgang til $personIdenter",
+                        "har ikke tilgang. $adressebeskyttelsegraderingEllerNavAnsatt.",
             )
         }
     }
 
     /**
      * sjekkTilgangTilPersoner er cachet i [familieIntegrasjonerTilgangskontrollService]
      */
-    private fun harTilgangTilPersoner(personIdenter: List<String>): Boolean =
+    private fun sjekkTilgangTilPersoner(personIdenter: List<String>): List<Tilgang> =
         familieIntegrasjonerTilgangskontrollService
             .sjekkTilgangTilPersoner(personIdenter)
-            .all { it.value.harTilgang }
+            .map { it.value }
 
     fun validerTilgangTilBehandling(
         behandlingId: Long,
@@ -109,10 +113,14 @@ class TilgangService(
             }
         }
 
-        if (!harTilgangTilPersoner(personIdenter)) {
+        val tilgangerTilPersoner = sjekkTilgangTilPersoner(personIdenter)
+        if (!harTilgangTilAllePersoner(tilgangerTilPersoner)) {
+            val adressebeskyttelsegraderingEllerNavAnsatt = tilgangerTilPersoner.tilBegrunnelserForManglendeTilgang()
             throw RolleTilgangskontrollFeil(
-                "Saksbehandler ${SikkerhetContext.hentSaksbehandler()} " +
-                    "har ikke tilgang til behandling=$behandlingId",
+                melding =
+                    "Saksbehandler ${SikkerhetContext.hentSaksbehandler()} " +
+                        "har ikke tilgang til behandling=$behandlingId. $adressebeskyttelsegraderingEllerNavAnsatt.",
+                frontendFeilmelding = "Behandlingen inneholder personer som krever ytterligere tilganger. $adressebeskyttelsegraderingEllerNavAnsatt.",
             )
         }
     }
@@ -139,15 +147,16 @@ class TilgangService(
                 ),
             )
         }
-        val harTilgang = harTilgangTilPersoner(personIdenterIFagsak)
-        if (!harTilgang) {
+
+        val tilgangerTilPersoner = sjekkTilgangTilPersoner(personIdenterIFagsak)
+        if (!harTilgangTilAllePersoner(tilgangerTilPersoner)) {
+            val adressebeskyttelsegraderingEllerNavAnsatt = tilgangerTilPersoner.tilBegrunnelserForManglendeTilgang()
             throw RolleTilgangskontrollFeil(
                 melding =
                     "Saksbehandler ${SikkerhetContext.hentSaksbehandler()} " +
-                        "har ikke tilgang til fagsak=$fagsakId.",
+                        "har ikke tilgang til fagsak=$fagsakId. $adressebeskyttelsegraderingEllerNavAnsatt.",
                 frontendFeilmelding =
-                    "Saksbehandler ${SikkerhetContext.hentSaksbehandler()} " +
-                        "har ikke tilgang til fagsak=$fagsakId.",
+                    "Fagsaken inneholder personer som krever ytterligere tilganger. $adressebeskyttelsegraderingEllerNavAnsatt.",
             )
         }
     }
@@ -179,4 +188,14 @@ class TilgangService(
             throw Feil(message = "Er ikke i riktig steg eller status. Forventer status FATTER_VEDTAK og steg BESLUTTE_VEDTAK")
         }
     }
+
+    private fun harTilgangTilAllePersoner(tilganger: List<Tilgang>): Boolean = tilganger.all { it.harTilgang }
+
+    private fun List<Tilgang>.tilBegrunnelserForManglendeTilgang(): String =
+        this
+            .filter { !it.harTilgang }
+            .mapNotNull { it.begrunnelse }
+            .toSet()
+            .toList()
+            .slåSammen()
 }
diff --git a/src/test/enhetstester/kotlin/no/nav/familie/ba/sak/config/IntegrasjonClientMock.kt b/src/test/enhetstester/kotlin/no/nav/familie/ba/sak/config/IntegrasjonClientMock.kt
@@ -225,9 +225,10 @@ class IntegrasjonClientMock {
         fun FamilieIntegrasjonerTilgangskontrollClient.mockSjekkTilgang(
             harTilgang: Boolean = false,
             slot: MutableList<List<String>> = mutableListOf(),
+            begrunnelse: String? = null,
         ) {
             every { sjekkTilgangTilPersoner(capture(slot)) } answers {
-                firstArg<List<String>>().map { Tilgang(personIdent = it, harTilgang = harTilgang) }
+                firstArg<List<String>>().map { Tilgang(personIdent = it, harTilgang = harTilgang, begrunnelse = begrunnelse) }
             }
         }
 
diff --git a/src/test/enhetstester/kotlin/no/nav/familie/ba/sak/sikkerhet/TilgangServiceTest.kt b/src/test/enhetstester/kotlin/no/nav/familie/ba/sak/sikkerhet/TilgangServiceTest.kt
@@ -25,6 +25,7 @@ import no.nav.familie.ba.sak.kjerne.grunnlag.personopplysninger.PersongrunnlagSe
 import no.nav.familie.ba.sak.util.BrukerContextUtil.clearBrukerContext
 import no.nav.familie.ba.sak.util.BrukerContextUtil.mockBrukerContext
 import no.nav.familie.log.mdc.MDCConstants
+import org.assertj.core.api.Assertions.assertThat
 import org.junit.jupiter.api.AfterEach
 import org.junit.jupiter.api.BeforeEach
 import org.junit.jupiter.api.Test
@@ -88,14 +89,18 @@ class TilgangServiceTest {
 
     @Test
     internal fun `skal kaste RolleTilgangskontrollFeil dersom saksbehandler ikke har tilgang til person eller dets barn`() {
-        mockFamilieIntegrasjonerTilgangskontrollClient.mockSjekkTilgang(false)
-
-        assertThrows<RolleTilgangskontrollFeil> {
-            tilgangService.validerTilgangTilPersoner(
-                listOf(aktør.aktivFødselsnummer()),
-                AuditLoggerEvent.ACCESS,
-            )
-        }
+        mockFamilieIntegrasjonerTilgangskontrollClient.mockSjekkTilgang(harTilgang = false, begrunnelse = "Bruker mangler rollen '0000-GA-Strengt_Fortrolig_Adresse")
+
+        val rolleTilgangskontrollFeil =
+            assertThrows<RolleTilgangskontrollFeil> {
+                tilgangService.validerTilgangTilPersoner(
+                    listOf(aktør.aktivFødselsnummer()),
+                    AuditLoggerEvent.ACCESS,
+                )
+            }
+
+        assertThat(rolleTilgangskontrollFeil.message).isEqualTo("Saksbehandler A har ikke tilgang. Bruker mangler rollen '0000-GA-Strengt_Fortrolig_Adresse.")
+        assertThat(rolleTilgangskontrollFeil.frontendFeilmelding).isEqualTo("Saksbehandler A har ikke tilgang. Bruker mangler rollen '0000-GA-Strengt_Fortrolig_Adresse.")
     }
 
     @Test
@@ -107,14 +112,17 @@ class TilgangServiceTest {
 
     @Test
     internal fun `skal kaste RolleTilgangskontrollFeil dersom saksbehandler ikke har tilgang til behandling`() {
-        mockFamilieIntegrasjonerTilgangskontrollClient.mockSjekkTilgang(false)
-
-        assertThrows<RolleTilgangskontrollFeil> {
-            tilgangService.validerTilgangTilBehandling(
-                behandling.id,
-                AuditLoggerEvent.ACCESS,
-            )
-        }
+        mockFamilieIntegrasjonerTilgangskontrollClient.mockSjekkTilgang(harTilgang = false, begrunnelse = "NAV-ansatt")
+
+        val rolleTilgangskontrollFeil =
+            assertThrows<RolleTilgangskontrollFeil> {
+                tilgangService.validerTilgangTilBehandling(
+                    behandling.id,
+                    AuditLoggerEvent.ACCESS,
+                )
+            }
+        assertThat(rolleTilgangskontrollFeil.message).isEqualTo("Saksbehandler A har ikke tilgang til behandling=${behandling.id}. NAV-ansatt.")
+        assertThat(rolleTilgangskontrollFeil.frontendFeilmelding).isEqualTo("Behandlingen inneholder personer som krever ytterligere tilganger. NAV-ansatt.")
     }
 
     @Test
@@ -180,6 +188,7 @@ class TilgangServiceTest {
 
     @Test
     fun `validerTilgangTilFagsak - skal kaste feil dersom søker eller et eller flere av barna har diskresjonskode og saksbehandler mangler tilgang`() {
+        // Arrange
         val søkerAktør = randomAktør("65434563721")
         val barnAktør = randomAktør("12345678910")
         every { fagsakService.hentAktør(fagsak.id) }.returns(aktør)
@@ -202,14 +211,19 @@ class TilgangServiceTest {
                 ),
             ),
         )
-        mockFamilieIntegrasjonerTilgangskontrollClient.mockSjekkTilgang(false)
+        mockFamilieIntegrasjonerTilgangskontrollClient.mockSjekkTilgang(harTilgang = false, begrunnelse = "Bruker mangler rollen '0000-GA-Strengt_Fortrolig_Adresse")
         mockBrukerContext("A")
-        assertThrows<RolleTilgangskontrollFeil> {
-            tilgangService.validerTilgangTilFagsak(
-                fagsak.id,
-                AuditLoggerEvent.ACCESS,
-            )
-        }
+
+        // Act & Assert
+        val rolletilgangskontrollFeil =
+            assertThrows<RolleTilgangskontrollFeil> {
+                tilgangService.validerTilgangTilFagsak(
+                    fagsak.id,
+                    AuditLoggerEvent.ACCESS,
+                )
+            }
+        assertThat(rolletilgangskontrollFeil.message).isEqualTo("Saksbehandler A har ikke tilgang til fagsak=${fagsak.id}. Bruker mangler rollen '0000-GA-Strengt_Fortrolig_Adresse.")
+        assertThat(rolletilgangskontrollFeil.frontendFeilmelding).isEqualTo("Fagsaken inneholder personer som krever ytterligere tilganger. Bruker mangler rollen '0000-GA-Strengt_Fortrolig_Adresse.")
     }
 
     @Test

Original file line number	Diff line number	Diff line change
`@@ -225,9 +225,10 @@ class IntegrasjonClientMock {`
`225`	`225`	`fun FamilieIntegrasjonerTilgangskontrollClient.mockSjekkTilgang(`
`226`	`226`	`harTilgang: Boolean = false,`
`227`	`227`	`slot: MutableList<List<String>> = mutableListOf(),`
	`228`	`+ begrunnelse: String? = null,`
`228`	`229`	`) {`
`229`	`230`	`every { sjekkTilgangTilPersoner(capture(slot)) } answers {`
`230`		`- firstArg<List<String>>().map { Tilgang(personIdent = it, harTilgang = harTilgang) }`
	`231`	`+ firstArg<List<String>>().map { Tilgang(personIdent = it, harTilgang = harTilgang, begrunnelse = begrunnelse) }`
`231`	`232`	`}`
`232`	`233`	`}`
`233`	`234`