TFP-5952 omlegging til egen tilgang (#1412)

* TFP-5952 omlegging til egen tilgang

* Fjerne unødvendig domene

* Fjerne gammel skjerming-klient

Author: jolarsen

felles/abac/src/main/java/no/nav/vedtak/sikkerhet/abac/AbacAuditlogger.java

@@ -99,7 +99,7 @@ private Set<CefField> createDefaultAbacFields(String userId, BeskyttetRessursAtt
         Set<CefField> fields = new HashSet<>();
         fields.add(new CefField(EVENT_TIME, System.currentTimeMillis()));
         fields.add(new CefField(REQUEST, beskyttetRessursAttributter.getServicePath()));
-        fields.add(new CefField(ABAC_RESOURCE_TYPE, abacResourceType));
+        fields.add(new CefField(ABAC_RESOURCE_TYPE, abacResourceType.getResourceTypeAttribute()));
         fields.add(new CefField(ABAC_ACTION, abacAction));
 
         if (userId != null) {

felles/abac/src/main/java/no/nav/vedtak/sikkerhet/abac/BeskyttetRessurs.java

@@ -9,6 +9,7 @@
 import jakarta.enterprise.util.Nonbinding;
 import jakarta.interceptor.InterceptorBinding;
 import jakarta.ws.rs.NameBinding;
+
 import no.nav.vedtak.sikkerhet.abac.beskyttet.ActionType;
 import no.nav.vedtak.sikkerhet.abac.beskyttet.AvailabilityType;
 import no.nav.vedtak.sikkerhet.abac.beskyttet.ResourceType;
@@ -19,25 +20,16 @@
 @Target({ElementType.TYPE, ElementType.METHOD})
 @NameBinding
 public @interface BeskyttetRessurs {
-    @Nonbinding ActionType actionType() default ActionType.DUMMY;
 
     /**
-     * Tre alternativ for å spesifisere resource
-     * - String resource - brukes typisk for andre domener enn de som er tilgjengelig under ResourceType
-     * - ResourceType - velg fra en enum - NB kun foreldrepenger, ikke duplo eller k9
-     * - String property - for å hente verdi fra en property, se under
+     * Handling
      */
-    @Nonbinding String resource() default "";
-
-    @Nonbinding ResourceType resourceType() default ResourceType.DUMMY;
+    @Nonbinding ActionType actionType() default ActionType.DUMMY;
 
     /**
-     * Property hvor resource kan slås opp fra.
-     * Først og fremst for biblioteker der resource er forskjellig mellom applikasjoner.
-     * Property angis som java property (eks: "abac.rolle").
-     * Dersom ikke tilgjengelig som property tolkes det som Env variabel på upper case (eks. "ABAC_ROLLE").
+     * Handling skal utføres på ressurs
      */
-    @Nonbinding String property() default "";
+    @Nonbinding ResourceType resourceType() default ResourceType.DUMMY;
 
     /**
      * For å angi om tjeneste skal kunne kalles fra andre namespace

felles/abac/src/main/java/no/nav/vedtak/sikkerhet/abac/BeskyttetRessursInterceptor.java

@@ -24,7 +24,7 @@
 import no.nav.vedtak.sikkerhet.abac.internal.BeskyttetRessursAttributter;
 import no.nav.vedtak.sikkerhet.kontekst.IdentType;
 
-@BeskyttetRessurs(actionType = ActionType.DUMMY, resource = "")
+@BeskyttetRessurs(actionType = ActionType.DUMMY, resourceType = ResourceType.DUMMY)
 @Interceptor
 @Priority(Interceptor.Priority.APPLICATION + 11)
 @Dependent
@@ -171,13 +171,9 @@ private static String utledAction(Class<?> clazz, Method method) {
         return ActionUthenter.action(clazz, method);
     }
 
-    private static String finnResource(BeskyttetRessurs beskyttetRessurs) {
-        if (!beskyttetRessurs.property().isEmpty() && ENV.getProperty(beskyttetRessurs.property()) != null) {
-            return ENV.getProperty(beskyttetRessurs.property());
-        } else if (!ResourceType.DUMMY.equals(beskyttetRessurs.resourceType())) {
-            return beskyttetRessurs.resourceType().getResourceTypeAttribute();
-        } else if (!beskyttetRessurs.resource().isEmpty()) {
-            return beskyttetRessurs.resource();
+    private static ResourceType finnResource(BeskyttetRessurs beskyttetRessurs) {
+        if (!ResourceType.DUMMY.equals(beskyttetRessurs.resourceType())) {
+            return beskyttetRessurs.resourceType();
         }
         return null;
     }

felles/abac/src/main/java/no/nav/vedtak/sikkerhet/abac/PdpRequestBuilder.java

@@ -12,10 +12,6 @@
  */
 public interface PdpRequestBuilder {
 
-    default String abacDomene() {
-        return "foreldrepenger";
-    }
-
     AppRessursData lagAppRessursData(AbacDataAttributter dataAttributter);
 
     // Trenger egentlig bare sette BEHANDLING_STATUS + FAGSAK_STATUS i tilfelle FAGSAK / UPDATE for skrivetilgangs-sjekk

felles/abac/src/main/java/no/nav/vedtak/sikkerhet/abac/PepImpl.java

@@ -1,11 +1,7 @@
 package no.nav.vedtak.sikkerhet.abac;
 
-import static no.nav.vedtak.sikkerhet.abac.AbacResultat.AVSLÅTT_ANNEN_ÅRSAK;
-import static no.nav.vedtak.sikkerhet.abac.AbacResultat.GODKJENT;
-
 import java.util.HashSet;
 import java.util.LinkedHashSet;
-import java.util.Objects;
 import java.util.stream.Collectors;
 
 import jakarta.enterprise.context.ApplicationScoped;
@@ -19,12 +15,10 @@
 import no.nav.vedtak.sikkerhet.abac.internal.BeskyttetRessursAttributter;
 import no.nav.vedtak.sikkerhet.abac.pdp.AppRessursData;
 import no.nav.vedtak.sikkerhet.abac.policy.EksternBrukerPolicies;
-import no.nav.vedtak.sikkerhet.abac.policy.ForeldrepengerAttributter;
 import no.nav.vedtak.sikkerhet.abac.policy.InternBrukerPolicies;
 import no.nav.vedtak.sikkerhet.abac.policy.SystemressursPolicies;
 import no.nav.vedtak.sikkerhet.abac.policy.Tilgangsvurdering;
 import no.nav.vedtak.sikkerhet.kontekst.AnsattGruppe;
-import no.nav.vedtak.sikkerhet.kontekst.IdentType;
 import no.nav.vedtak.sikkerhet.tilgang.AnsattGruppeKlient;
 import no.nav.vedtak.sikkerhet.tilgang.PopulasjonKlient;
 
@@ -37,9 +31,7 @@
 public class PepImpl implements Pep {
 
     private static final Logger LOG = LoggerFactory.getLogger(PepImpl.class);
-    private static final String PIP = ForeldrepengerAttributter.RESOURCE_TYPE_INTERNAL_PIP;
 
-    private PdpKlient pdpKlient;
     private PopulasjonKlient populasjonKlient;
     private AnsattGruppeKlient ansattGruppeKlient;
     private PdpRequestBuilder pdpRequestBuilder;
@@ -50,8 +42,7 @@ public class PepImpl implements Pep {
     }
 
     @Inject
-    public PepImpl(PdpKlient pdpKlient, PopulasjonKlient populasjonKlient, AnsattGruppeKlient ansattGruppeKlient, PdpRequestBuilder pdpRequestBuilder) {
-        this.pdpKlient = pdpKlient;
+    public PepImpl(PopulasjonKlient populasjonKlient, AnsattGruppeKlient ansattGruppeKlient, PdpRequestBuilder pdpRequestBuilder) {
         this.populasjonKlient = populasjonKlient;
         this.ansattGruppeKlient = ansattGruppeKlient;
         this.pdpRequestBuilder = pdpRequestBuilder;
@@ -61,36 +52,10 @@ public PepImpl(PdpKlient pdpKlient, PopulasjonKlient populasjonKlient, AnsattGru
     public Tilgangsbeslutning vurderTilgang(BeskyttetRessursAttributter beskyttetRessursAttributter) {
         var appRessurser = pdpRequestBuilder.lagAppRessursData(beskyttetRessursAttributter.getDataAttributter());
 
-        if (IdentType.Systemressurs.equals(beskyttetRessursAttributter.getIdentType())) {
-            var pdpResultat = vurderLokalTilgang(beskyttetRessursAttributter, appRessurser);
-            sammenlignOgLogg(beskyttetRessursAttributter, appRessurser, pdpResultat.beslutningKode());
-            return pdpResultat;
-        } else if (PIP.equals(beskyttetRessursAttributter.getResourceType())) { // pip tilgang bør vurderes kun lokalt
-            return new Tilgangsbeslutning(AVSLÅTT_ANNEN_ÅRSAK, beskyttetRessursAttributter, appRessurser);
-        } else {
-            var pdpResultat = pdpKlient.forespørTilgang(beskyttetRessursAttributter, pdpRequestBuilder.abacDomene(), appRessurser);
-            sammenlignOgLogg(beskyttetRessursAttributter, appRessurser, pdpResultat.beslutningKode());
-            return pdpResultat;
-        }
-    }
-
-    protected Tilgangsbeslutning vurderLokalTilgang(BeskyttetRessursAttributter beskyttetRessursAttributter, AppRessursData appRessursData) {
-        var harTilgang = SystemressursPolicies.riktigClusterNamespacePreAuth(beskyttetRessursAttributter.getBrukerId(), beskyttetRessursAttributter.getAvailabilityType());
-        return new Tilgangsbeslutning(harTilgang ? GODKJENT : AVSLÅTT_ANNEN_ÅRSAK, beskyttetRessursAttributter, appRessursData);
+        var vurdering = forespørTilgang(beskyttetRessursAttributter, appRessurser);
+        return new Tilgangsbeslutning(vurdering.tilgangResultat(), beskyttetRessursAttributter, appRessurser);
     }
 
-    private void sammenlignOgLogg(BeskyttetRessursAttributter beskyttetRessursAttributter, AppRessursData appRessursData, AbacResultat resultat) {
-        try {
-            var lokalt = forespørTilgang(beskyttetRessursAttributter, appRessursData);
-            if (!Objects.equals(lokalt.tilgangResultat(), resultat)) {
-                var metode = beskyttetRessursAttributter.getServicePath();
-                LOG.info("FPEGENTILGANG: ulikt svar - abac {} tilgang {} - årsak {} - metode {}", resultat, lokalt.tilgangResultat(), lokalt.årsak(), metode);
-            }
-        } catch (Exception e) {
-            var metode = beskyttetRessursAttributter.getServicePath();
-            LOG.info("FPEGENTILGANG: feil for metode {}", metode, e);
-        }
-    }
 
     // Skal kunne kalles fra evt subklasser av PepImpl
     protected Tilgangsvurdering forespørTilgang(BeskyttetRessursAttributter beskyttetRessursAttributter, AppRessursData appRessursData) {

felles/abac/src/main/java/no/nav/vedtak/sikkerhet/abac/internal/BeskyttetRessursAttributter.java

@@ -21,7 +21,7 @@ public class BeskyttetRessursAttributter {
     private IdentType identType;
     private Set<AnsattGruppe> ansattGrupper = new LinkedHashSet<>();
     private ActionType actionType;
-    private String resourceType;
+    private ResourceType resourceType;
     private AvailabilityType availabilityType;
     private Token token;
     private String pepId;
@@ -56,7 +56,7 @@ public ActionType getActionType() {
         return actionType;
     }
 
-    public String getResourceType() {
+    public ResourceType getResourceType() {
         return resourceType;
     }
 
@@ -125,11 +125,6 @@ public Builder medAvailabilityType(AvailabilityType availabilityType) {
         }
 
         public Builder medResourceType(ResourceType resourceType) {
-            pdpRequest.resourceType = resourceType.getResourceTypeAttribute();
-            return this;
-        }
-
-        public Builder medResourceType(String resourceType) {
             pdpRequest.resourceType = resourceType;
             return this;
         }

felles/abac/src/main/java/no/nav/vedtak/sikkerhet/abac/policy/EksternBrukerPolicies.java

@@ -4,6 +4,7 @@
 import java.util.Optional;
 
 import no.nav.vedtak.sikkerhet.abac.beskyttet.ActionType;
+import no.nav.vedtak.sikkerhet.abac.beskyttet.ResourceType;
 import no.nav.vedtak.sikkerhet.abac.internal.BeskyttetRessursAttributter;
 import no.nav.vedtak.sikkerhet.abac.pdp.AppRessursData;
 import no.nav.vedtak.sikkerhet.abac.pdp.ForeldrepengerDataKeys;
@@ -31,9 +32,9 @@ public static Tilgangsvurdering vurderTilgang(BeskyttetRessursAttributter beskyt
 
         return switch (beskyttetRessursAttributter.getResourceType()) {
             case null -> Tilgangsvurdering.avslåGenerell("ikke angitt ressurs");
-            case ForeldrepengerAttributter.RESOURCE_TYPE_FP_APPLIKASJON -> applikasjonPolicy(beskyttetRessursAttributter, appRessursData);
-            case ForeldrepengerAttributter.RESOURCE_TYPE_FP_FAGSAK -> fagsakPolicy(beskyttetRessursAttributter, appRessursData);
-            case ForeldrepengerAttributter.RESOURCE_TYPE_FP_UTTAKSPLAN -> uttaksplanPolicy(beskyttetRessursAttributter, appRessursData);
+            case ResourceType.APPLIKASJON -> applikasjonPolicy(beskyttetRessursAttributter, appRessursData);
+            case ResourceType.FAGSAK -> fagsakPolicy(beskyttetRessursAttributter, appRessursData);
+            case ResourceType.UTTAKSPLAN -> uttaksplanPolicy(beskyttetRessursAttributter, appRessursData);
             default ->  Tilgangsvurdering.avslåGenerell("EksternBruker har ikke tilgang til ressurs");
         };
     }

felles/abac/src/main/java/no/nav/vedtak/sikkerhet/abac/policy/InternBrukerPolicies.java

@@ -5,6 +5,7 @@
 import java.util.Set;
 
 import no.nav.vedtak.sikkerhet.abac.beskyttet.ActionType;
+import no.nav.vedtak.sikkerhet.abac.beskyttet.ResourceType;
 import no.nav.vedtak.sikkerhet.abac.internal.BeskyttetRessursAttributter;
 import no.nav.vedtak.sikkerhet.abac.pdp.AppRessursData;
 import no.nav.vedtak.sikkerhet.abac.pdp.ForeldrepengerDataKeys;
@@ -30,13 +31,13 @@ public static Tilgangsvurdering vurderTilgang(BeskyttetRessursAttributter beskyt
 
         return switch (beskyttetRessursAttributter.getResourceType()) {
             case null -> Tilgangsvurdering.avslåGenerell("ikke angitt ressurs");
-            case ForeldrepengerAttributter.RESOURCE_TYPE_FP_APPLIKASJON -> applikasjonPolicy(beskyttetRessursAttributter, appRessursData);
-            case ForeldrepengerAttributter.RESOURCE_TYPE_FP_DRIFT -> driftPolicy(beskyttetRessursAttributter);
-            case ForeldrepengerAttributter.RESOURCE_TYPE_FP_FAGSAK -> fagsakPolicy(beskyttetRessursAttributter, appRessursData);
-            case ForeldrepengerAttributter.RESOURCE_TYPE_FP_VENTEFRIST -> ventefristPolicy(beskyttetRessursAttributter);
-            case ForeldrepengerAttributter.RESOURCE_TYPE_FP_AVDELINGENHET -> avdelingEnhetPolicy(appRessursData);
-            case ForeldrepengerAttributter.RESOURCE_TYPE_FP_OPPGAVESTYRING -> oppgavestyrerPolicy();
-            case ForeldrepengerAttributter.RESOURCE_TYPE_FP_RISIKOKLASSIFISERING -> erVeilederEllerSaksbehandler(beskyttetRessursAttributter);
+            case ResourceType.APPLIKASJON -> applikasjonPolicy(beskyttetRessursAttributter, appRessursData);
+            case ResourceType.DRIFT -> driftPolicy(beskyttetRessursAttributter);
+            case ResourceType.FAGSAK -> fagsakPolicy(beskyttetRessursAttributter, appRessursData);
+            case ResourceType.VENTEFRIST -> ventefristPolicy(beskyttetRessursAttributter);
+            case ResourceType.OPPGAVESTYRING_AVDELINGENHET -> avdelingEnhetPolicy(appRessursData);
+            case ResourceType.OPPGAVESTYRING -> oppgavestyrerPolicy();
+            case ResourceType.RISIKOKLASSIFISERING -> erVeilederEllerSaksbehandler(beskyttetRessursAttributter);
             default ->  Tilgangsvurdering.avslåGenerell("InternBruker har ikke tilgang til ressurs " + beskyttetRessursAttributter.getResourceType());
         };
     }

felles/abac/src/main/java/no/nav/vedtak/sikkerhet/abac/policy/SystemressursPolicies.java

@@ -7,6 +7,7 @@
 import no.nav.foreldrepenger.konfig.Environment;
 import no.nav.vedtak.sikkerhet.abac.beskyttet.ActionType;
 import no.nav.vedtak.sikkerhet.abac.beskyttet.AvailabilityType;
+import no.nav.vedtak.sikkerhet.abac.beskyttet.ResourceType;
 import no.nav.vedtak.sikkerhet.abac.internal.BeskyttetRessursAttributter;
 import no.nav.vedtak.sikkerhet.abac.pdp.AppRessursData;
 import no.nav.vedtak.sikkerhet.abac.pdp.ForeldrepengerDataKeys;
@@ -27,7 +28,7 @@ public class SystemressursPolicies {
     private static final String PRE_AUTHORIZED = ENV.getProperty(AzureProperty.AZURE_APP_PRE_AUTHORIZED_APPS.name());
     private static final Cluster RESIDENT_CLUSTER = ENV.getCluster();
     private static final String RESIDENT_NAMESPACE = ENV.namespace();
-    private static final Set<String> IKKE_TILLATT_RESOURCE_TYPE = Set.of(ForeldrepengerAttributter.RESOURCE_TYPE_FP_UTTAKSPLAN);
+    private static final Set<ResourceType> IKKE_TILLATT_RESOURCE_TYPE = Set.of(ResourceType.UTTAKSPLAN);
 
     private SystemressursPolicies() {
         // Hindre instans
@@ -68,7 +69,7 @@ private static boolean erISammeNamespace(String[] elementer, AvailabilityType av
     }
 
     private static boolean skriveBeskyttet(BeskyttetRessursAttributter beskyttetRessursAttributter, AppRessursData appRessursData) {
-        if (Objects.equals(ForeldrepengerAttributter.RESOURCE_TYPE_FP_FAGSAK, beskyttetRessursAttributter.getResourceType())) {
+        if (Objects.equals(ResourceType.FAGSAK, beskyttetRessursAttributter.getResourceType())) {
             var behandlingStatus = appRessursData.getResource(ForeldrepengerDataKeys.BEHANDLING_STATUS);
             var fagsakStatus = appRessursData.getResource(ForeldrepengerDataKeys.FAGSAK_STATUS);
             // Denne er utforskende. Vi trenger oppdatere behandling i tilstand IVED. Potensielt også AVSLU pga brevkvittering

felles/abac/src/main/java/no/nav/vedtak/sikkerhet/pdp/XacmlRequestMapper.java

@@ -51,7 +51,7 @@ private static XacmlRequest.Attributes resourceInfo(BeskyttetRessursAttributter
 
         attributes.add(new XacmlRequest.AttributeAssignment(NavFellesAttributter.RESOURCE_FELLES_DOMENE, domene));
         attributes.add(
-            new XacmlRequest.AttributeAssignment(NavFellesAttributter.RESOURCE_FELLES_RESOURCE_TYPE, beskyttetRessursAttributter.getResourceType()));
+            new XacmlRequest.AttributeAssignment(NavFellesAttributter.RESOURCE_FELLES_RESOURCE_TYPE, beskyttetRessursAttributter.getResourceType().getResourceTypeAttribute()));
 
         appRessursData.getResources()
             .values()