Ny tilgangskontroll, i parallell med eksisterende (#202)

* Parallel kjøring av ny tilgangskontroll

* Endret konfig tilbake

Author: tendestad

deploy/dev-gcp.yml

@@ -84,6 +84,8 @@ spec:
           - "NAVident"
   accessPolicy:
     outbound:
+      rules:
+        - application: sif-abac-pdp
       external:
         - host: "k9-abakus.dev-fss-pub.nais.io"
         - host: "k9-oppdrag.dev-fss-pub.nais.io"
@@ -113,6 +115,7 @@ spec:
         - application: k9-abakus
           namespace: k9saksbehandling
           cluster: dev-fss
+        - application: sif-abac-pdp
   gcp:
     sqlInstances:
       - type: POSTGRES_16
@@ -239,6 +242,10 @@ spec:
       value : https://pdl-pip-api.dev-fss-pub.nais.io/api/v1/person
     - name : PDL_PIP_SCOPE
       value : api://dev-fss.pdl.pdl-pip-api/.default
+    - name : SIF_ABAC_PDP_SCOPE
+      value : api://dev-gcp.k9saksbehandling.sif-abac-pdp/.default
+    - name : SIF_ABAC_PDP_URL
+      value : http://sif-abac-pdp/sif/sif-abac-pdp/api/tilgangskontroll/ung/saksinformasjon
 
     # Saf
     - name: SAF_BASE_URL

deploy/prod-gcp.yml

@@ -84,6 +84,8 @@ spec:
           - "NAVident"
   accessPolicy:
     outbound:
+      rules:
+        - application : sif-abac-pdp
       external:
         - host: "k9-abakus.prod-fss-pub.nais.io"
         - host: "k9-oppdrag.prod-fss-pub.nais.io"
@@ -93,24 +95,26 @@ spec:
         - host: "saf.prod-fss-pub.nais.io"
         - host: "norg2.prod-fss-pub.nais.io"
         - host: "dokarkiv.prod-fss-pub.nais.io"
+        - host: "k9-fordel.prod-fss-pub.nais.io"
     inbound:
       rules:
         - application: ung-sak
         - application: k9-los-api
           namespace: k9saksbehandling
-          cluster: prod-gcp
+          cluster: prod-fss
         - application: k9-fordel
           namespace: k9saksbehandling
-          cluster: prod-gcp
+          cluster: prod-fss
         - application: k9-tilbake
           namespace: k9saksbehandling
-          cluster: prod-gcp
+          cluster: prod-fss
         - application: k9-klage
           namespace: k9saksbehandling
-          cluster: prod-gcp
+          cluster: prod-fss
         - application: k9-abakus
           namespace: k9saksbehandling
-          cluster: prod-gcp
+          cluster: prod-fss
+        - application: sif-abac-pdp
   gcp:
     sqlInstances:
       - type: POSTGRES_16
@@ -224,7 +228,10 @@ spec:
       value : https://pdl-pip-api.prod-fss-pub.nais.io/api/v1/person
     - name : PDL_PIP_SCOPE
       value : api://prod-fss.pdl.pdl-pip-api/.default
-
+    - name: SIF_ABAC_PDP_SCOPE
+      value: api://prod-gcp.k9saksbehandling.sif-abac-pdp/.default
+    - name: SIF_ABAC_PDP_URL
+      value: http://sif-abac-pdp/sif/sif-abac-pdp/api/tilgangskontroll/ung/saksinformasjon
 
     # Saf
     - name: SAF_BASE_URL

pom.xml

@@ -320,6 +320,11 @@
                 <version>${project.version}</version>
             </dependency>
 
+            <dependency>
+                <groupId>no.nav.sif.abac</groupId>
+                <artifactId>kontrakt</artifactId>
+                <version>1.0.3</version>
+            </dependency>
 
             <dependency>
                 <groupId>no.nav.k9</groupId>

web/app-vtp.properties

@@ -19,6 +19,8 @@ DOKDISTFORDELING_URL=http://localhost:8060/rest/dokdist/v1
 DOKARKIV_URL=http://localhost:8060/rest/dokarkiv/rest/journalpostapi/v1
 DOKARKIV_BASE_URL=https://vtp:8063/rest/dokarkiv
 
+sif.abac.pdp.scope=api://vtp.k9saksbehandling.sif-abac-pdp/.default
+sif.abac.pdp.url=http://localhost:8913/sif/sif-abac-pdp/api/tilgangskontroll/ung/saksinformasjon
 k9.oppdrag.direkte.url=http://localhost:8070/k9/oppdrag/api
 K9.oppdrag.scope=api://vtp.k9saksbehandling.k9-oppdrag/.default
 k9.tilbake.direkte.url=http://localhost:8031/k9/tilbake/api

web/pom.xml

@@ -327,6 +327,10 @@
             <groupId>no.nav.ung.sak</groupId>
             <artifactId>mottak</artifactId>
         </dependency>
+        <dependency>
+            <groupId>no.nav.sif.abac</groupId>
+            <artifactId>kontrakt</artifactId>
+        </dependency>
     </dependencies>
 
     <build>

web/src/main/java/no/nav/ung/sak/web/server/abac/AppPdpKlient.java

@@ -4,25 +4,58 @@
 import jakarta.enterprise.context.Dependent;
 import jakarta.enterprise.inject.Alternative;
 import jakarta.inject.Inject;
+import no.nav.k9.felles.konfigurasjon.env.Environment;
+import no.nav.k9.felles.sikkerhet.abac.Decision;
 import no.nav.k9.felles.sikkerhet.abac.PdpKlient;
 import no.nav.k9.felles.sikkerhet.abac.PdpRequest;
 import no.nav.k9.felles.sikkerhet.abac.Tilgangsbeslutning;
+import no.nav.sif.abac.kontrakt.abac.dto.SaksinformasjonTilgangskontrollInputDto;
 import no.nav.ung.sak.tilgangskontroll.PolicyDecisionPoint;
+import org.slf4j.Logger;
+import org.slf4j.LoggerFactory;
+
+import java.util.Set;
 
 @Dependent
 @Alternative
 @Priority(1)
 public class AppPdpKlient implements PdpKlient {
 
+    private static final Logger LOG = LoggerFactory.getLogger(AppPdpKlient.class);
+
     private final PolicyDecisionPoint pdp;
+    private final SifAbacPdpRestKlient sifAbacPdpRestKlient;
 
     @Inject
-    public AppPdpKlient(PolicyDecisionPoint pdp) {
+    public AppPdpKlient(PolicyDecisionPoint pdp, SifAbacPdpRestKlient sifAbacPdpRestKlient) {
         this.pdp = pdp;
+        this.sifAbacPdpRestKlient = sifAbacPdpRestKlient;
     }
 
     @Override
     public Tilgangsbeslutning forespørTilgang(PdpRequest pdpRequest) {
-        return pdp.vurderTilgangForInnloggetBruker(pdpRequest);
+        Tilgangsbeslutning tilgangsbeslutning = pdp.vurderTilgangForInnloggetBruker(pdpRequest);
+
+        try {
+            Tilgangsbeslutning eksterntSvar = forespørTilgangEksternt(pdpRequest);
+            if (eksterntSvar.fikkTilgang() != tilgangsbeslutning.fikkTilgang()) {
+                LOG.warn("Ulikt svar på tilgang. Intern {} og ekstern {}", tilgangsbeslutning.fikkTilgang(), eksterntSvar.fikkTilgang());
+                if (Environment.current().isDev()) {
+                    LOG.info("Forespørsel som gav ulikt svar var: {}", pdpRequest);
+                }
+            }
+        } catch (Exception e) {
+            LOG.warn("Feil med ekstern tilgangskontroll", e);
+        }
+
+        return tilgangsbeslutning;
     }
+
+    public Tilgangsbeslutning forespørTilgangEksternt(PdpRequest pdpRequest) {
+        SaksinformasjonTilgangskontrollInputDto tilgangskontrollInput = PdpRequestMapper.map(pdpRequest);
+        Decision decision = sifAbacPdpRestKlient.sjekkTilgangForInnloggetBruker(tilgangskontrollInput);
+        return new Tilgangsbeslutning(decision == Decision.Permit, Set.of(), pdpRequest);
+    }
+
 }
+

web/src/main/java/no/nav/ung/sak/web/server/abac/PdpRequestMapper.java

@@ -0,0 +1,72 @@
+package no.nav.ung.sak.web.server.abac;
+
+import no.nav.k9.felles.sikkerhet.abac.PdpRequest;
+import no.nav.sif.abac.kontrakt.abac.*;
+import no.nav.sif.abac.kontrakt.abac.dto.OperasjonDto;
+import no.nav.sif.abac.kontrakt.abac.dto.SaksinformasjonDto;
+import no.nav.sif.abac.kontrakt.abac.dto.SaksinformasjonTilgangskontrollInputDto;
+import no.nav.sif.abac.kontrakt.person.AktørId;
+import no.nav.sif.abac.kontrakt.person.PersonIdent;
+import no.nav.ung.sak.tilgangskontroll.api.AbacAttributter;
+
+import java.util.Arrays;
+
+public class PdpRequestMapper {
+
+    public static SaksinformasjonTilgangskontrollInputDto map(PdpRequest pdpRequest){
+        return new SaksinformasjonTilgangskontrollInputDto(
+            pdpRequest.getListOfString(AbacAttributter.RESOURCE_FELLES_PERSON_AKTOERID_RESOURCE).stream().map(AktørId::new).toList(),
+            pdpRequest.getListOfString(AbacAttributter.RESOURCE_FELLES_PERSON_FNR).stream().map(PersonIdent::new).toList(),
+            operasjon(pdpRequest),
+            saksinformasjon(pdpRequest)
+        );
+    }
+
+    public static OperasjonDto operasjon(PdpRequest pdpRequest) {
+        ResourceType resource = resourceTypeFraKode(pdpRequest.getString(no.nav.ung.sak.tilgangskontroll.api.AbacAttributter.RESOURCE_FELLES_RESOURCE_TYPE));
+        return new OperasjonDto(resource, actionFraKode(pdpRequest.getString(no.nav.ung.sak.tilgangskontroll.api.AbacAttributter.XACML_1_0_ACTION_ACTION_ID)));
+    }
+
+    public static SaksinformasjonDto saksinformasjon(PdpRequest pdpRequest) {
+        return new SaksinformasjonDto(
+            pdpRequest.getString(no.nav.ung.sak.tilgangskontroll.api.AbacAttributter.RESOURCE_K9_SAK_ANSVARLIG_SAKSBEHANDLER),
+            Arrays.stream(AbacBehandlingStatus.values())
+                .filter(v -> v.getEksternKode().equals(pdpRequest.getString(no.nav.ung.sak.tilgangskontroll.api.AbacAttributter.RESOURCE_K9_SAK_BEHANDLINGSSTATUS)))
+                .findFirst().orElse(null),
+            Arrays.stream(AbacFagsakStatus.values())
+                .filter(v -> v.getEksternKode().equals(pdpRequest.getString(no.nav.ung.sak.tilgangskontroll.api.AbacAttributter.RESOURCE_K9_SAK_SAKSSTATUS)))
+                .findFirst().orElse(null),
+            aksjonspunktTypeFraKode(pdpRequest.getString(no.nav.ung.sak.tilgangskontroll.api.AbacAttributter.RESOURCE_K9_SAK_AKSJONSPUNKT_TYPE)));
+    }
+
+    private static AksjonspunktType aksjonspunktTypeFraKode(String kode) {
+        return switch (kode) {
+            case null -> null;
+            case "AUTO" -> AksjonspunktType.AUTOPUNKT;
+            case "MANU" -> AksjonspunktType.MANUELL;
+            case "OVST" -> AksjonspunktType.OVERSTYRING;
+            case "SAOV" -> AksjonspunktType.SAKSBEHANDLEROVERSTYRING;
+            default -> throw new IllegalStateException("Unexpected value: " + kode);
+        };
+    }
+
+    static ResourceType resourceTypeFraKode(String kode) {
+        return switch (kode) {
+            case no.nav.ung.abac.BeskyttetRessursKoder.APPLIKASJON -> ResourceType.APPLIKASJON;
+            case no.nav.ung.abac.BeskyttetRessursKoder.FAGSAK -> ResourceType.FAGSAK;
+            case no.nav.ung.abac.BeskyttetRessursKoder.DRIFT -> ResourceType.DRIFT;
+            case no.nav.ung.abac.BeskyttetRessursKoder.VENTEFRIST -> ResourceType.VENTEFRIST;
+            default -> throw new IllegalArgumentException("Ikke-støttet verdi: " + kode);
+        };
+    }
+
+    static BeskyttetRessursActionAttributt actionFraKode(String kode) {
+        return switch (kode) {
+            case "read" -> BeskyttetRessursActionAttributt.READ;
+            case "update" -> BeskyttetRessursActionAttributt.UPDATE;
+            case "create" -> BeskyttetRessursActionAttributt.CREATE;
+            default -> throw new IllegalArgumentException("Ikke-styttet verdi: " + kode);
+        };
+    }
+
+}

web/src/main/java/no/nav/ung/sak/web/server/abac/SifAbacPdpRestKlient.java

@@ -0,0 +1,45 @@
+package no.nav.ung.sak.web.server.abac;
+
+import jakarta.enterprise.context.Dependent;
+import jakarta.inject.Inject;
+import no.nav.k9.felles.integrasjon.rest.OidcRestClient;
+import no.nav.k9.felles.integrasjon.rest.ScopedRestIntegration;
+import no.nav.k9.felles.konfigurasjon.konfig.KonfigVerdi;
+import no.nav.k9.felles.sikkerhet.abac.Decision;
+import no.nav.sif.abac.kontrakt.abac.dto.SaksinformasjonTilgangskontrollInputDto;
+
+import java.net.URI;
+import java.net.URISyntaxException;
+
+@Dependent
+@ScopedRestIntegration(scopeKey = "sif.abac.pdp.scope", defaultScope = "api://prod-fss.k9saksbehandling.sif-abac-pdp/.default")
+public class SifAbacPdpRestKlient {
+
+    private OidcRestClient restClient;
+    private URI uriSaksinformasjon;
+
+    SifAbacPdpRestKlient() {
+        // for CDI proxy
+    }
+
+    @Inject
+    public SifAbacPdpRestKlient(OidcRestClient restClient,
+                                @KonfigVerdi(value = "sif.abac.pdp.url", defaultVerdi = "http://sif-abac-pdp/sif/sif-abac-pdp/api/tilgangskontroll/ung/saksinformasjon") String urlSifAbacPdp) {
+
+        this.restClient = restClient;
+        this.uriSaksinformasjon = tilUri(urlSifAbacPdp);
+    }
+
+    public Decision sjekkTilgangForInnloggetBruker(SaksinformasjonTilgangskontrollInputDto input) {
+        return restClient.post(uriSaksinformasjon, input, Decision.class);
+    }
+
+    private static URI tilUri(String baseUrl) {
+        try {
+            return new URI(baseUrl);
+        } catch (URISyntaxException e) {
+            throw new IllegalArgumentException("Ugyldig konfigurasjon for URL_K9TILBAKE", e);
+        }
+    }
+
+}

web/src/test/java/no/nav/ung/sak/web/app/exceptions/JsonMappingExceptionMapperTest.java web/src/test/java/no/nav/ung/sak/web/app/exceptions/JsonPdpRequestMapperExceptionMapperTest.java

@@ -10,7 +10,7 @@
 
 import no.nav.ung.sak.kontrakt.FeilDto;
 
-public class JsonMappingExceptionMapperTest {
+public class JsonPdpRequestMapperExceptionMapperTest {
 
     @Test
     public void skal_mappe_InvalidTypeIdException() throws Exception {