La til issuer info i sikkerhetsnivå

nilsmsa · nilsmsa · commit c43460cf5d12 · 2025-03-10T12:01:09.000+01:00
diff --git a/apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/RequestScope.kt b/apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/RequestScope.kt
@@ -4,6 +4,7 @@ import io.ktor.server.auth.principal
 import io.ktor.server.request.path
 import io.ktor.server.routing.RoutingContext
 import io.opentelemetry.instrumentation.annotations.WithSpan
+import no.nav.paw.arbeidssokerregisteret.utils.AzureACR
 import no.nav.paw.arbeidssokerregisteret.utils.AzureAzpName
 import no.nav.paw.arbeidssokerregisteret.utils.AzureName
 import no.nav.paw.arbeidssokerregisteret.utils.AzureNavIdent
@@ -21,7 +22,9 @@ data class RequestScope(
     val callId: String?,
     val traceparent: String?,
     val navConsumerId: String?
-)
+) {
+    val issuer: String = claims.issuer
+}
 
 @WithSpan
 fun RoutingContext.requestScope(): RequestScope {
@@ -34,6 +37,7 @@ fun RoutingContext.requestScope(): RequestScope {
             AzureNavIdent,
             AzureRoles,
             AzureAzpName,
+            AzureACR,
             TokenXPID,
             TokenXACR
         ) ?: ResolvedClaims()
diff --git a/apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/application/ResultatTilHendelse.kt b/apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/application/ResultatTilHendelse.kt
@@ -24,6 +24,7 @@ import no.nav.paw.arbeidssokerregisteret.intern.v1.vo.BrukerType
 import no.nav.paw.arbeidssokerregisteret.intern.v1.vo.Metadata
 import no.nav.paw.arbeidssokerregisteret.intern.v1.vo.OpplysningerOmArbeidssoeker
 import no.nav.paw.arbeidssokerregisteret.intern.v1.vo.TidspunktFraKilde
+import no.nav.paw.arbeidssokerregisteret.utils.AzureACR
 import no.nav.paw.collections.PawNonEmptyList
 import java.time.Instant
 import java.util.*
@@ -150,13 +151,13 @@ fun RequestScope.brukerFraClaims(): Bruker {
         Bruker(
             type = BrukerType.VEILEDER,
             id = it.ident,
-            sikkerhetsnivaa = null
+            sikkerhetsnivaa = "${claims.issuer}:${claims[AzureACR] ?: "undefined"}"
         )
     } ?: m2mToken(claims)?.let {
         Bruker(
             type = BrukerType.SYSTEM,
             id = it.tjeneste,
-            sikkerhetsnivaa = null
+            sikkerhetsnivaa = "${claims.issuer}:${claims[AzureACR] ?: "undefined"}"
         )
     } ?: throw IllegalStateException("Kunne ikke finne bruker i claims")
 }
diff --git a/apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/domain/Sluttbruker.kt b/apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/domain/Sluttbruker.kt
@@ -11,6 +11,6 @@ data class Sluttbruker(
 
 fun sluttbruker(claims: ResolvedClaims): Sluttbruker? {
     val identitetsnummer = claims[TokenXPID]
-    val sikkerhetsnivaa = claims[TokenXACR]
+    val sikkerhetsnivaa = "${claims.issuer}:${claims[TokenXACR] ?: "undefined"}"
     return identitetsnummer?.let { Sluttbruker(it, sikkerhetsnivaa) }
 }
diff --git a/apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/utils/Claim.kt b/apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/utils/Claim.kt
@@ -26,6 +26,7 @@ data object AzureNavIdent : SingeClaim<String>("azure", "NAVident", Any::toStrin
 data object AzureOID : SingeClaim<UUID>("azure", "oid", Any::asUUID)
 data object AzureRoles : ListClaim<String>("azure", "roles", Any::asListOfStrings)
 data object AzureAzpName : SingeClaim<String>("azure", "azp_name", Any::toString)
+data object AzureACR : SingeClaim<String>("azure", "acr", Any::toString)
 data object TokenXPID : SingeClaim<Identitetsnummer>("tokenx", "pid", Any::asIdentitetsnummer)
 data object TokenXACR : SingeClaim<String>("tokenx", "acr", Any::toString)
 
diff --git a/apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/utils/ResolvedClaims.kt b/apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/utils/ResolvedClaims.kt
@@ -7,6 +7,8 @@ class ResolvedClaims private constructor(
 ) {
     constructor() : this(emptyMap())
 
+    val issuer: String = map.keys.firstOrNull()?.issuer ?: "undefined"
+
     override fun toString(): String {
         return map.map { (key, value) -> "${key}=$value" }
             .let { "ResolvedClaims($it)" }
diff --git a/apps/api-start-stopp-perioder/src/test/kotlin/no/nav/paw/arbeidssokerregisteret/ApiV2TestCaseRunner.kt b/apps/api-start-stopp-perioder/src/test/kotlin/no/nav/paw/arbeidssokerregisteret/ApiV2TestCaseRunner.kt
@@ -62,6 +62,8 @@ class ApiV2TestCaseRunner : FreeSpec({
                 "Test  API V2 ${testCase::class.simpleName?.readable()}" - {
                     "Verifiser API V2" - {
                         with(initTestCaseContext(InngangsReglerV2)) {
+                            val testConfiguration = TestCaseBuilder(mockOAuthServer, autorisasjonService)
+                                .also { testCase.configure(it) }
                             "Verifiser API response" {
                                 testApplication {
                                     application {
@@ -79,13 +81,11 @@ class ApiV2TestCaseRunner : FreeSpec({
                                     val person = (testCase as? StartPeriodeTestCase)?.person
                                     logger.info("Running test for $id")
                                     personInfoService.setPersonInfo(id, person)
-                                    val testConfiguration = TestCaseBuilder(mockOAuthServer, autorisasjonService)
-                                        .also { testCase.configure(it) }
                                     val statusV2 =
                                         client.startStoppPeriode(
                                             periodeTilstand = testCase.tilstand,
                                             identitetsnummer = id,
-                                            token = testConfiguration.authToken,
+                                            token = testConfiguration.authToken?.second,
                                             godkjent = (testCase as? StartPeriodeTestCase)?.forhaandsGodkjent ?: false,
                                             feilretting = testCase.feilretting
                                         )
@@ -119,7 +119,8 @@ class ApiV2TestCaseRunner : FreeSpec({
                                 if (expectedRecord != null) {
                                     verify(
                                         actual = producer.next(),
-                                        expected = expectedRecord
+                                        expected = expectedRecord,
+                                        brukerAuth = testConfiguration.authToken?.first
                                     )
                                     producer.next().shouldBeNull()
                                 } else {
diff --git a/apps/api-start-stopp-perioder/src/test/kotlin/no/nav/paw/arbeidssokerregisteret/ApplicationTestContext.kt b/apps/api-start-stopp-perioder/src/test/kotlin/no/nav/paw/arbeidssokerregisteret/ApplicationTestContext.kt
@@ -25,7 +25,7 @@ import no.nav.paw.arbeidssokerregisteret.domain.Identitetsnummer
 import no.nav.paw.arbeidssokerregisteret.domain.NavAnsatt
 import no.nav.paw.arbeidssokerregisteret.intern.v1.HarOpplysninger
 import no.nav.paw.arbeidssokerregisteret.intern.v1.Hendelse
-import no.nav.paw.arbeidssokerregisteret.intern.v1.vo.AvviksType
+import no.nav.paw.arbeidssokerregisteret.intern.v1.vo.BrukerType
 import no.nav.paw.arbeidssokerregisteret.services.AutorisasjonService
 import no.nav.paw.arbeidssokerregisteret.services.PersonInfoService
 import no.nav.paw.arbeidssokerregisteret.testdata.mustBe
@@ -56,24 +56,23 @@ fun HttpClientConfig<out io.ktor.client.engine.HttpClientEngineConfig>.defaultCo
 }
 
 
-fun MockOAuth2Server.personToken(id: String, acr: String = "idporten-loa-high"): SignedJWT = issueToken(
-    claims = mapOf(
-        "acr" to acr,
-        "pid" to id
-    )
-)
+fun MockOAuth2Server.personToken(id: String, acr: String = "idporten-loa-high"): Pair<Map<String, Any>, SignedJWT> =
+    mapOf(
+    "acr" to acr,
+    "pid" to id
+).let { it.plus("issuer" to "tokenx") to issueToken(claims = it) }
 
-fun MockOAuth2Server.ansattToken(navAnsatt: NavAnsatt): SignedJWT = issueToken(
-    claims = mapOf(
+fun MockOAuth2Server.ansattToken(navAnsatt: NavAnsatt): Pair<Map<String, Any>, SignedJWT> =
+    mapOf(
         "oid" to navAnsatt.azureId,
         "NAVident" to navAnsatt.ident
-    )
-)
+    ).let { it.plus("issuer" to "azure") to issueToken(claims = it) }
 
 
 fun verify(
     actual: ProducerRecord<Long, Hendelse>?,
-    expected: ProducerRecord<Long, out Hendelse>
+    expected: ProducerRecord<Long, out Hendelse>,
+    brukerAuth: Map<String, Any>?
 ) {
     if (actual == null) {
         fail("Forventet at melding skulle bli produsert, men ingen melding ble funnet")
@@ -85,6 +84,16 @@ fun verify(
     actualValue.id shouldBe expectedValue.id
     actualValue.identitetsnummer shouldBe expectedValue.identitetsnummer
     actualValue.metadata.utfoertAv.id shouldBe expectedValue.metadata.utfoertAv.id
+    if (brukerAuth == null) {
+        actualValue.metadata.utfoertAv.sikkerhetsnivaa shouldBe null
+    } else {
+        if (brukerAuth["issuer"] == "azure") {
+            actualValue.metadata.utfoertAv.type shouldBe BrukerType.VEILEDER
+        } else {
+            actualValue.metadata.utfoertAv.type shouldBe BrukerType.SLUTTBRUKER
+        }
+        actualValue.metadata.utfoertAv.sikkerhetsnivaa shouldBe "${brukerAuth["issuer"]}:${brukerAuth["acr"] ?: "undefined"}"
+    }
     actualValue.metadata.utfoertAv.type shouldBe expectedValue.metadata.utfoertAv.type
     actualValue.metadata.tidspunktFraKilde?.avviksType shouldBe expectedValue.metadata.tidspunktFraKilde?.avviksType
     actualValue.metadata.tidspunktFraKilde?.tidspunkt mustBe expectedValue.metadata.tidspunktFraKilde?.tidspunkt
diff --git a/apps/api-start-stopp-perioder/src/test/kotlin/no/nav/paw/arbeidssokerregisteret/testdata/HentPersonReturnererNull.kt b/apps/api-start-stopp-perioder/src/test/kotlin/no/nav/paw/arbeidssokerregisteret/testdata/HentPersonReturnererNull.kt
@@ -25,7 +25,7 @@ data object HentPersonReturnererNull : StartPeriodeTestCase {
     override val person = null
 
     override val configure: TestCaseBuilder.() -> Unit = {
-        authToken = mockOAuth2Server.personToken(id)
+        authToken = mockOAuth2Server.personToken(id, "Level4")
     }
 
     override val producesHttpResponse: HttpStatusCode = HttpStatusCode.Forbidden
@@ -58,7 +58,7 @@ data object HentPersonReturnererNull : StartPeriodeTestCase {
                 utfoertAv = Bruker(
                     id = id,
                     type = BrukerType.SLUTTBRUKER,
-                    sikkerhetsnivaa = "idporten-loa-high"
+                    sikkerhetsnivaa = ""
                 ),
                 aarsak = "any",
                 tidspunktFraKilde = null
diff --git a/apps/api-start-stopp-perioder/src/test/kotlin/no/nav/paw/arbeidssokerregisteret/testdata/TestCase.kt b/apps/api-start-stopp-perioder/src/test/kotlin/no/nav/paw/arbeidssokerregisteret/testdata/TestCase.kt
@@ -47,5 +47,5 @@ class TestCaseBuilder(
     val mockOAuth2Server: MockOAuth2Server,
     val autorisasjonService: AutorisasjonService
 ) {
-    var authToken: SignedJWT? = null
+    var authToken: Pair<Map<String, Any>, SignedJWT>? = null
 }
diff --git a/lib/security/src/main/kotlin/no/nav/paw/security/authentication/model/Bruker.kt b/lib/security/src/main/kotlin/no/nav/paw/security/authentication/model/Bruker.kt
@@ -13,5 +13,5 @@ data class Sluttbruker(
     val sikkerhetsnivaa: String?
 ) : Bruker<Identitetsnummer>(ident)
 
-data class NavAnsatt(val oid: UUID, override val ident: String) : Bruker<String>(ident)
+data class NavAnsatt(val oid: UUID, override val ident: String, val sikkerhetsnivaa: String?) : Bruker<String>(ident)
 data class Anonym(val oid: UUID? = null) : Bruker<String>("N/A")
diff --git a/lib/security/src/main/kotlin/no/nav/paw/security/authentication/model/SecurityContext.kt b/lib/security/src/main/kotlin/no/nav/paw/security/authentication/model/SecurityContext.kt
@@ -18,6 +18,8 @@ data class SecurityContext(
     val accessToken: AccessToken
 )
 
+fun AccessToken.sikkerhetsnivaa(): String = "${issuer.name}:${claims.getOrNull(ACR) ?: "undefined"}"
+
 fun ApplicationCall.resolveSecurityContext(): SecurityContext {
     val principal = principal<TokenValidationContextPrincipal>()
     val tokenContext = principal?.context
@@ -31,7 +33,7 @@ fun ApplicationCall.resolveSecurityContext(): SecurityContext {
             logger.debug("TokenX token -> Sluttbruker")
             Sluttbruker(
                 ident = accessToken.claims.getOrThrow(PID),
-                sikkerhetsnivaa = accessToken.claims.getOrNull(ACR)
+                sikkerhetsnivaa = accessToken.sikkerhetsnivaa(),
             )
         }
 
@@ -43,19 +45,19 @@ fun ApplicationCall.resolveSecurityContext(): SecurityContext {
                     Anonym(accessToken.claims.getOrThrow(OID))
                 } else {
                     logger.debug("AzureAd M2M token -> NavAnsatt")
-                    NavAnsatt(accessToken.claims.getOrThrow(OID), navIdentHeader)
+                    NavAnsatt(accessToken.claims.getOrThrow(OID), ident = navIdentHeader, sikkerhetsnivaa = accessToken.sikkerhetsnivaa())
                 }
             } else {
                 logger.debug("AzureAd token -> NavAnsatt")
-                NavAnsatt(accessToken.claims.getOrThrow(OID), accessToken.claims.getOrThrow(NavIdent))
+                NavAnsatt(accessToken.claims.getOrThrow(OID), accessToken.claims.getOrThrow(NavIdent), accessToken.sikkerhetsnivaa())
             }
         }
 
         is IdPorten -> {
             logger.debug("IdPorten token -> Sluttbruker")
             Sluttbruker(
                 ident = accessToken.claims.getOrThrow(PID),
-                sikkerhetsnivaa = accessToken.claims.getOrNull(ACR)
+                sikkerhetsnivaa = accessToken.sikkerhetsnivaa()
             )
         }
 
diff --git a/lib/security/src/main/kotlin/no/nav/paw/security/authentication/model/Token.kt b/lib/security/src/main/kotlin/no/nav/paw/security/authentication/model/Token.kt
@@ -3,8 +3,8 @@ package no.nav.paw.security.authentication.model
 sealed class Token(val issuer: Issuer, val claims: List<Claim<*>>)
 
 data object TokenXToken : Token(TokenX, listOf(PID, ACR))
-data object AzureAdToken : Token(AzureAd, listOf(OID, Name, NavIdent, Roles))
+data object AzureAdToken : Token(AzureAd, listOf(OID, Name, NavIdent, Roles, ACR))
 data object IdPortenToken : Token(IdPorten, listOf(PID, ACR))
-data object MaskinPortenToken : Token(MaskinPorten, emptyList())
+data object MaskinPortenToken : Token(MaskinPorten, listOf(ACR))
 
 val validTokens: List<Token> = listOf(TokenXToken, AzureAdToken, IdPortenToken, MaskinPortenToken)

Original file line number	Diff line number	Diff line change
`@@ -11,6 +11,6 @@ data class Sluttbruker(`
`11`	`11`
`12`	`12`	`fun sluttbruker(claims: ResolvedClaims): Sluttbruker? {`
`13`	`13`	`val identitetsnummer = claims[TokenXPID]`
`14`		`- val sikkerhetsnivaa = claims[TokenXACR]`
	`14`	`+ val sikkerhetsnivaa = "${claims.issuer}:${claims[TokenXACR] ?: "undefined"}"`
`15`	`15`	`return identitetsnummer?.let { Sluttbruker(it, sikkerhetsnivaa) }`
`16`	`16`	`}`
Original file line number	Diff line number	Diff line change
`@@ -47,5 +47,5 @@ class TestCaseBuilder(`
`47`	`47`	`val mockOAuth2Server: MockOAuth2Server,`
`48`	`48`	`val autorisasjonService: AutorisasjonService`
`49`	`49`	`) {`
`50`		`- var authToken: SignedJWT? = null`
	`50`	`+ var authToken: Pair<Map<String, Any>, SignedJWT>? = null`
`51`	`51`	`}`
Original file line number	Diff line number	Diff line change
`@@ -18,6 +18,8 @@ data class SecurityContext(`
`18`	`18`	`val accessToken: AccessToken`
`19`	`19`	`)`
`20`	`20`
	`21`	`+fun AccessToken.sikkerhetsnivaa(): String = "${issuer.name}:${claims.getOrNull(ACR) ?: "undefined"}"`
	`22`	`+`
`21`	`23`	`fun ApplicationCall.resolveSecurityContext(): SecurityContext {`
`22`	`24`	`val principal = principal<TokenValidationContextPrincipal>()`
`23`	`25`	`val tokenContext = principal?.context`
`@@ -31,7 +33,7 @@ fun ApplicationCall.resolveSecurityContext(): SecurityContext {`
`31`	`33`	`logger.debug("TokenX token -> Sluttbruker")`
`32`	`34`	`Sluttbruker(`
`33`	`35`	`ident = accessToken.claims.getOrThrow(PID),`
`34`		`- sikkerhetsnivaa = accessToken.claims.getOrNull(ACR)`
	`36`	`+ sikkerhetsnivaa = accessToken.sikkerhetsnivaa(),`
`35`	`37`	`)`
`36`	`38`	`}`
`37`	`39`
`@@ -43,19 +45,19 @@ fun ApplicationCall.resolveSecurityContext(): SecurityContext {`
`43`	`45`	`Anonym(accessToken.claims.getOrThrow(OID))`
`44`	`46`	`} else {`
`45`	`47`	`logger.debug("AzureAd M2M token -> NavAnsatt")`
`46`		`- NavAnsatt(accessToken.claims.getOrThrow(OID), navIdentHeader)`
	`48`	`+ NavAnsatt(accessToken.claims.getOrThrow(OID), ident = navIdentHeader, sikkerhetsnivaa = accessToken.sikkerhetsnivaa())`
`47`	`49`	`}`
`48`	`50`	`} else {`
`49`	`51`	`logger.debug("AzureAd token -> NavAnsatt")`
`50`		`- NavAnsatt(accessToken.claims.getOrThrow(OID), accessToken.claims.getOrThrow(NavIdent))`
	`52`	`+ NavAnsatt(accessToken.claims.getOrThrow(OID), accessToken.claims.getOrThrow(NavIdent), accessToken.sikkerhetsnivaa())`
`51`	`53`	`}`
`52`	`54`	`}`
`53`	`55`
`54`	`56`	`is IdPorten -> {`
`55`	`57`	`logger.debug("IdPorten token -> Sluttbruker")`
`56`	`58`	`Sluttbruker(`
`57`	`59`	`ident = accessToken.claims.getOrThrow(PID),`
`58`		`- sikkerhetsnivaa = accessToken.claims.getOrNull(ACR)`
	`60`	`+ sikkerhetsnivaa = accessToken.sikkerhetsnivaa()`
`59`	`61`	`)`
`60`	`62`	`}`
`61`	`63`