Merge pull request #136 from navikt/dev/utvide-api-inngang

Utvidet api-inngang til å kunne bli kalt med M2M-token, med tilhørend…

Author: naviktthomas

.editorconfig

@@ -9,18 +9,23 @@ ij_continuation_indent_size = 8
 ij_smart_tabs = false
 
 [*.java]
-ij_java_imports_layout = *,|,javax.**,java.**,|,$*
+ij_java_imports_layout = *, |, javax.**, java.**, |, $*
 ij_java_class_count_to_use_import_on_demand = 9999
 ij_java_names_count_to_use_import_on_demand = 9999
-ij_java_packages_to_use_import_on_demand = java.awt.*,javax.swing.*
+ij_java_packages_to_use_import_on_demand = java.awt.*, javax.swing.*
 
 [{*.kt,*.kts}]
-ij_kotlin_imports_layout = *,java.**,javax.**,kotlin.**,^
+ij_kotlin_imports_layout = *, java.**, javax.**, kotlin.**, ^
 ij_kotlin_name_count_to_use_star_import = 9999
 ij_kotlin_name_count_to_use_star_import_for_members = 9999
-ij_kotlin_packages_to_use_import_on_demand = java.util.*,kotlinx.android.synthetic.*,io.ktor.*
+ij_kotlin_packages_to_use_import_on_demand = java.util.*, kotlinx.android.synthetic.*, io.ktor.*
 
 [{*.yml,*.yaml}]
 indent_size = 2
 tab_width = 2
 ij_continuation_indent_size = 4
+
+[*.json]
+indent_size = 2
+tab_width = 2
+ij_continuation_indent_size = 4

apps/api-start-stopp-perioder/nais/nais-dev.yaml

@@ -62,16 +62,15 @@ spec:
   accessPolicy:
     inbound:
       rules:
+        - application: aia-backend
         - application: arbeidssokerregistrering
         - application: arbeidssokerregistrering-for-veileder
-        - application: aia-backend
+        - application: paw-arbeidssoekere-synk-jobb
     outbound:
       rules:
-        - application: poao-tilgang
-          namespace: poao
         - application: paw-kafka-key-generator
-          namespace: paw
         - application: paw-tilgangskontroll
+        - application: poao-tilgang
+          namespace: poao
       external:
         - host: pdl-api.dev-fss-pub.nais.io
-

apps/api-start-stopp-perioder/nais/nais-prod.yaml

@@ -62,16 +62,14 @@ spec:
   accessPolicy:
     inbound:
       rules:
+        - application: aia-backend
         - application: arbeidssokerregistrering
         - application: arbeidssokerregistrering-for-veileder
-        - application: aia-backend
     outbound:
       rules:
-        - application: poao-tilgang
-          namespace: poao
         - application: paw-kafka-key-generator
-          namespace: paw
         - application: paw-tilgangskontroll
+        - application: poao-tilgang
+          namespace: poao
       external:
         - host: pdl-api.prod-fss-pub.nais.io
-

apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/AuthOpplysningerTilHendelseOpplysniinger.kt

@@ -1,7 +1,15 @@
 package no.nav.paw.arbeidssokerregisteret
 
-import no.nav.paw.arbeidssokerregisteret.application.authfaktka.*
-import no.nav.paw.arbeidssokerregisteret.application.authfaktka.AuthOpplysning.*
+import no.nav.paw.arbeidssokerregisteret.application.authfaktka.AuthOpplysning
+import no.nav.paw.arbeidssokerregisteret.application.authfaktka.AuthOpplysning.AnsattIkkeTilgang
+import no.nav.paw.arbeidssokerregisteret.application.authfaktka.AuthOpplysning.AnsattTilgang
+import no.nav.paw.arbeidssokerregisteret.application.authfaktka.AuthOpplysning.IkkeAnsatt
+import no.nav.paw.arbeidssokerregisteret.application.authfaktka.AuthOpplysning.IkkeSystem
+import no.nav.paw.arbeidssokerregisteret.application.authfaktka.AuthOpplysning.IkkeSammeSomInnloggerBruker
+import no.nav.paw.arbeidssokerregisteret.application.authfaktka.AuthOpplysning.SystemIkkeTilgang
+import no.nav.paw.arbeidssokerregisteret.application.authfaktka.AuthOpplysning.SystemTilgang
+import no.nav.paw.arbeidssokerregisteret.application.authfaktka.AuthOpplysning.SammeSomInnloggetBruker
+import no.nav.paw.arbeidssokerregisteret.application.authfaktka.AuthOpplysning.TokenXPidIkkeFunnet
 import no.nav.paw.arbeidssokerregisteret.intern.v1.vo.Opplysning
 
 fun authOpplysningTilHendelseOpplysning(opplysning: AuthOpplysning): Opplysning =
@@ -12,4 +20,7 @@ fun authOpplysningTilHendelseOpplysning(opplysning: AuthOpplysning): Opplysning
         AnsattIkkeTilgang -> Opplysning.ANSATT_IKKE_TILGANG
         AnsattTilgang -> Opplysning.ANSATT_TILGANG
         IkkeAnsatt -> Opplysning.IKKE_ANSATT
+        SystemIkkeTilgang -> Opplysning.SYSTEM_IKKE_TILGANG
+        SystemTilgang -> Opplysning.SYSTEM_TILGANG
+        IkkeSystem -> Opplysning.IKKE_SYSTEM
     }

apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/RequestScope.kt

@@ -1,10 +1,17 @@
 package no.nav.paw.arbeidssokerregisteret
 
-import io.ktor.server.auth.*
-import io.ktor.server.request.*
+import io.ktor.server.auth.principal
+import io.ktor.server.request.path
 import io.ktor.server.routing.RoutingContext
 import io.opentelemetry.instrumentation.annotations.WithSpan
-import no.nav.paw.arbeidssokerregisteret.utils.*
+import no.nav.paw.arbeidssokerregisteret.utils.AzureAzpName
+import no.nav.paw.arbeidssokerregisteret.utils.AzureName
+import no.nav.paw.arbeidssokerregisteret.utils.AzureNavIdent
+import no.nav.paw.arbeidssokerregisteret.utils.AzureOID
+import no.nav.paw.arbeidssokerregisteret.utils.AzureRoles
+import no.nav.paw.arbeidssokerregisteret.utils.ResolvedClaims
+import no.nav.paw.arbeidssokerregisteret.utils.TokenXPID
+import no.nav.paw.arbeidssokerregisteret.utils.resolveClaims
 import no.nav.security.token.support.v3.TokenValidationContextPrincipal
 
 data class RequestScope(
@@ -21,9 +28,11 @@ fun RoutingContext.requestScope(): RequestScope {
     val resolvedClaims = tokenValidationContext
         ?.context
         ?.resolveClaims(
+            AzureOID,
             AzureName,
             AzureNavIdent,
-            AzureOID,
+            AzureRoles,
+            AzureAzpName,
             TokenXPID
         ) ?: ResolvedClaims()
     val headers = call.request.headers

apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/application/RequestValidator.kt

@@ -1,15 +1,25 @@
 package no.nav.paw.arbeidssokerregisteret.application
 
 import arrow.core.Either
-import arrow.core.NonEmptyList
 import arrow.core.flatMap
 import arrow.core.partially1
 import io.micrometer.prometheusmetrics.PrometheusMeterRegistry
 import io.opentelemetry.instrumentation.annotations.WithSpan
 import no.nav.paw.arbeidssokerregisteret.RequestScope
+import no.nav.paw.arbeidssokerregisteret.application.authfaktka.systemTilgangFakta
 import no.nav.paw.arbeidssokerregisteret.application.authfaktka.navAnsattTilgangFakta
-import no.nav.paw.arbeidssokerregisteret.application.authfaktka.tokenXPidFakta
-import no.nav.paw.arbeidssokerregisteret.application.opplysninger.*
+import no.nav.paw.arbeidssokerregisteret.application.authfaktka.sluttbrukerTilgangFakta
+import no.nav.paw.arbeidssokerregisteret.application.opplysninger.DomeneOpplysning
+import no.nav.paw.arbeidssokerregisteret.application.opplysninger.Opplysning
+import no.nav.paw.arbeidssokerregisteret.application.opplysninger.adreseOpplysning
+import no.nav.paw.arbeidssokerregisteret.application.opplysninger.alderOpplysning
+import no.nav.paw.arbeidssokerregisteret.application.opplysninger.euEoesStatsborgerOpplysning
+import no.nav.paw.arbeidssokerregisteret.application.opplysninger.forenkletFregOpplysning
+import no.nav.paw.arbeidssokerregisteret.application.opplysninger.gbrStatsborgerOpplysning
+import no.nav.paw.arbeidssokerregisteret.application.opplysninger.norskStatsborgerOpplysning
+import no.nav.paw.arbeidssokerregisteret.application.opplysninger.oppholdstillatelseOpplysning
+import no.nav.paw.arbeidssokerregisteret.application.opplysninger.plus
+import no.nav.paw.arbeidssokerregisteret.application.opplysninger.utflyttingOpplysning
 import no.nav.paw.arbeidssokerregisteret.application.regler.TilgangsRegler
 import no.nav.paw.arbeidssokerregisteret.domain.Identitetsnummer
 import no.nav.paw.arbeidssokerregisteret.services.AutorisasjonService
@@ -26,6 +36,7 @@ class RequestValidator(
 ) {
 
     private val sjekkOmNavAnsattHarTilgang = ::navAnsattTilgangFakta.partially1(autorisasjonService)
+    private val sjekkOmSystemHarTilgang = ::systemTilgangFakta.partially1(autorisasjonService)
 
     @WithSpan
     suspend fun validerTilgang(
@@ -34,12 +45,14 @@ class RequestValidator(
         erForhaandsGodkjentAvVeileder: Boolean = false,
         feilretting: Feilretting? = null
     ): Either<PawNonEmptyList<Problem>, GrunnlagForGodkjenning> {
-        val autentiseringsFakta = requestScope.tokenXPidFakta(identitetsnummer) +
+        val autentiseringsFakta = requestScope.sluttbrukerTilgangFakta(identitetsnummer) +
                 sjekkOmNavAnsattHarTilgang(requestScope, identitetsnummer) +
+                sjekkOmSystemHarTilgang(requestScope) +
                 listOfNotNull(
                     if (erForhaandsGodkjentAvVeileder) DomeneOpplysning.ErForhaandsgodkjent else null,
                     feilretting?.let { DomeneOpplysning.ErFeilretting }
                 )
+
         return TilgangsRegler.evaluer(autentiseringsFakta)
     }
 

apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/application/ResultatTilHendelse.kt

@@ -10,10 +10,20 @@ import no.nav.paw.arbeidssokerregisteret.application.opplysninger.DomeneOpplysni
 import no.nav.paw.arbeidssokerregisteret.application.opplysninger.Opplysning
 import no.nav.paw.arbeidssokerregisteret.authOpplysningTilHendelseOpplysning
 import no.nav.paw.arbeidssokerregisteret.domain.Identitetsnummer
+import no.nav.paw.arbeidssokerregisteret.domain.m2mToken
 import no.nav.paw.arbeidssokerregisteret.domain.navAnsatt
-import no.nav.paw.arbeidssokerregisteret.intern.v1.*
-import no.nav.paw.arbeidssokerregisteret.intern.v1.vo.*
-import no.nav.paw.arbeidssokerregisteret.utils.TokenXPID
+import no.nav.paw.arbeidssokerregisteret.domain.sluttbruker
+import no.nav.paw.arbeidssokerregisteret.intern.v1.Avsluttet
+import no.nav.paw.arbeidssokerregisteret.intern.v1.Avvist
+import no.nav.paw.arbeidssokerregisteret.intern.v1.AvvistStoppAvPeriode
+import no.nav.paw.arbeidssokerregisteret.intern.v1.Hendelse
+import no.nav.paw.arbeidssokerregisteret.intern.v1.OpplysningerOmArbeidssoekerMottatt
+import no.nav.paw.arbeidssokerregisteret.intern.v1.Startet
+import no.nav.paw.arbeidssokerregisteret.intern.v1.vo.Bruker
+import no.nav.paw.arbeidssokerregisteret.intern.v1.vo.BrukerType
+import no.nav.paw.arbeidssokerregisteret.intern.v1.vo.Metadata
+import no.nav.paw.arbeidssokerregisteret.intern.v1.vo.OpplysningerOmArbeidssoeker
+import no.nav.paw.arbeidssokerregisteret.intern.v1.vo.TidspunktFraKilde
 import no.nav.paw.collections.PawNonEmptyList
 import java.time.Instant
 import java.util.*
@@ -70,7 +80,10 @@ fun somHendelse(
             id = id,
             hendelseId = UUID.randomUUID(),
             identitetsnummer = identitetsnummer.verdi,
-            metadata = hendelseMetadata(requestScope, resultat.value.map { it.regel.id.beskrivelse }.toList().joinToString(". ")),
+            metadata = hendelseMetadata(
+                requestScope = requestScope,
+                aarsak = resultat.value.map { it.regel.id.beskrivelse }.toList().joinToString(". ")
+            ),
             opplysninger = resultat.value.first.opplysninger.map(::mapToHendelseOpplysning).toSet(),
             handling = requestScope.path
         )
@@ -79,7 +92,10 @@ fun somHendelse(
             id = id,
             hendelseId = UUID.randomUUID(),
             identitetsnummer = identitetsnummer.verdi,
-            metadata = hendelseMetadata(requestScope, resultat.value.regel.id.beskrivelse),
+            metadata = hendelseMetadata(
+                requestScope = requestScope,
+                aarsak = resultat.value.regel.id.beskrivelse
+            ),
             opplysninger = resultat.value.opplysning.map(::mapToHendelseOpplysning).toSet()
         )
     }
@@ -120,15 +136,20 @@ fun hendelseMetadata(
 )
 
 fun RequestScope.brukerFraClaims(): Bruker {
-    return claims[TokenXPID]?.let { foedselsnummer ->
+    return sluttbruker(claims)?.let {
         Bruker(
             type = BrukerType.SLUTTBRUKER,
-            id = foedselsnummer.verdi
+            id = it.identitetsnummer.verdi
         )
-    } ?: navAnsatt(claims)?.let { navAnsatt ->
+    } ?: navAnsatt(claims)?.let {
         Bruker(
             type = BrukerType.VEILEDER,
-            id = navAnsatt.ident
+            id = it.ident
+        )
+    } ?: m2mToken(claims)?.let {
+        Bruker(
+            type = BrukerType.SYSTEM,
+            id = it.tjeneste
         )
     } ?: throw IllegalStateException("Kunne ikke finne bruker i claims")
 }

apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/application/authfaktka/AuthOpplysninger.kt

@@ -4,7 +4,7 @@ import no.nav.paw.arbeidssokerregisteret.application.opplysninger.Effect
 import no.nav.paw.arbeidssokerregisteret.application.opplysninger.Opplysning
 
 
-sealed interface AuthOpplysning: Opplysning {
+sealed interface AuthOpplysning : Opplysning {
 
     data object IkkeSammeSomInnloggerBruker : AuthOpplysning, Effect.Negative {
         override val id = "IKKE_SAMME_SOM_INNLOGGER_BRUKER"
@@ -38,4 +38,21 @@ sealed interface AuthOpplysning: Opplysning {
         override val id = "IKKE_ANSATT"
         override val beskrivelse = "Innlogget bruker er ikke en NAV-ansatt"
     }
+
+    data object SystemIkkeTilgang : AuthOpplysning, Effect.Negative {
+        override val id = "SYSTEM_IKKE_TILGANG"
+        override val beskrivelse =
+            "System uten tilgang til å utføre start/stopp av perioder"
+    }
+
+    data object SystemTilgang : AuthOpplysning, Effect.Positive {
+        override val id = "SYSTEM_TILGANG"
+        override val beskrivelse =
+            "System med tilgang til å utføre start/stopp av perioder"
+    }
+
+    data object IkkeSystem : AuthOpplysning, Effect.Neutral {
+        override val id = "IKKE_SYSTEM"
+        override val beskrivelse = "Ikke system"
+    }
 }

apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/application/authfaktka/TokenXPidFakta.kt apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/application/authfaktka/SluttbrukerTilgangFakta.kt

@@ -7,7 +7,7 @@ import no.nav.paw.arbeidssokerregisteret.application.opplysninger.Opplysning
 import no.nav.paw.arbeidssokerregisteret.domain.Identitetsnummer
 import no.nav.paw.arbeidssokerregisteret.utils.TokenXPID
 
-fun RequestScope.tokenXPidFakta(identitetsnummer: Identitetsnummer): Opplysning {
+fun RequestScope.sluttbrukerTilgangFakta(identitetsnummer: Identitetsnummer): Opplysning {
     return (claims[TokenXPID]?.let { authenticatedUser ->
         if (authenticatedUser != identitetsnummer) {
             IkkeSammeSomInnloggerBruker

apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/application/authfaktka/SystemTilgangFakta.kt

@@ -0,0 +1,29 @@
+package no.nav.paw.arbeidssokerregisteret.application.authfaktka
+
+import io.opentelemetry.api.trace.Span
+import no.nav.paw.arbeidssokerregisteret.RequestScope
+import no.nav.paw.arbeidssokerregisteret.application.authfaktka.AuthOpplysning.IkkeSystem
+import no.nav.paw.arbeidssokerregisteret.application.authfaktka.AuthOpplysning.SystemIkkeTilgang
+import no.nav.paw.arbeidssokerregisteret.application.authfaktka.AuthOpplysning.SystemTilgang
+import no.nav.paw.arbeidssokerregisteret.application.opplysninger.Opplysning
+import no.nav.paw.arbeidssokerregisteret.domain.m2mToken
+import no.nav.paw.arbeidssokerregisteret.services.AutorisasjonService
+
+fun systemTilgangFakta(
+    autorisasjonService: AutorisasjonService,
+    requestScope: RequestScope
+): Opplysning {
+    val m2MToken = m2mToken(requestScope.claims)
+    return (if (m2MToken != null) {
+        if (autorisasjonService.verifiserSystemTilgangTilBruker(m2MToken)) {
+            SystemTilgang
+        } else {
+            SystemIkkeTilgang
+        }
+    } else {
+        IkkeSystem
+    }).also { opplysning ->
+        Span.current()
+            .setAttribute("paw_m2m_token_tilgang", opplysning.toString())
+    }
+}

apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/application/regler/TilgangsRegler.kt

@@ -1,10 +1,15 @@
 package no.nav.paw.arbeidssokerregisteret.application.regler
 
-import no.nav.paw.arbeidssokerregisteret.application.*
-import no.nav.paw.arbeidssokerregisteret.application.authfaktka.*
+import no.nav.paw.arbeidssokerregisteret.application.Regel
+import no.nav.paw.arbeidssokerregisteret.application.RegelId
+import no.nav.paw.arbeidssokerregisteret.application.Regler
+import no.nav.paw.arbeidssokerregisteret.application.authfaktka.AuthOpplysning
+import no.nav.paw.arbeidssokerregisteret.application.grunnlagForGodkjenning
+import no.nav.paw.arbeidssokerregisteret.application.invoke
 import no.nav.paw.arbeidssokerregisteret.application.opplysninger.DomeneOpplysning
+import no.nav.paw.arbeidssokerregisteret.application.skalAvises
 
-object TilgangsRegler: Regler {
+object TilgangsRegler : Regler {
     override val regler: List<Regel> = listOf(
         AnsattHarTilgangTilBruker(
             AuthOpplysning.AnsattTilgang,
@@ -36,6 +41,14 @@ object TilgangsRegler: Regler {
         AnsattIkkeTilgangTilBruker(
             AuthOpplysning.AnsattIkkeTilgang,
             vedTreff = ::skalAvises
+        ),
+        SystemHarIkkeTilgangTilBruker(
+            AuthOpplysning.SystemIkkeTilgang,
+            vedTreff = ::skalAvises
+        ),
+        SystemHarTilgangTilBruker(
+            AuthOpplysning.SystemTilgang,
+            vedTreff = ::grunnlagForGodkjenning
         )
     )
 
@@ -45,7 +58,7 @@ object TilgangsRegler: Regler {
 
 }
 
-sealed interface AuthRegelId: RegelId
+sealed interface AuthRegelId : RegelId
 
 data object IkkeTilgang : AuthRegelId {
     override val beskrivelse: String = "Ikke tilgang"
@@ -78,3 +91,11 @@ data object UgyldigFeilretting : AuthRegelId {
 data object AnsattHarTilgangTilBruker : AuthRegelId {
     override val beskrivelse: String = "Ansatt har tilgang til bruker"
 }
+
+data object SystemHarIkkeTilgangTilBruker : AuthRegelId {
+    override val beskrivelse: String = "System har ikke tilgang til bruker"
+}
+
+data object SystemHarTilgangTilBruker : AuthRegelId {
+    override val beskrivelse: String = "System har tilgang til bruker"
+}

apps/api-start-stopp-perioder/src/main/kotlin/no/nav/paw/arbeidssokerregisteret/domain/M2MToken.kt

@@ -0,0 +1,17 @@
+package no.nav.paw.arbeidssokerregisteret.domain
+
+import no.nav.paw.arbeidssokerregisteret.utils.AzureAzpName
+import no.nav.paw.arbeidssokerregisteret.utils.AzureRoles
+import no.nav.paw.arbeidssokerregisteret.utils.ResolvedClaims
+
+data class M2MToken(val tjeneste: String)
+
+fun m2mToken(claims: ResolvedClaims): M2MToken? {
+    val roles = claims[AzureRoles]
+    val azp = claims[AzureAzpName]
+    return if (roles != null && azp != null && roles.contains("access_as_application")) {
+        M2MToken(azp)
+    } else {
+        null
+    }
+}