Merge pull request #1518 from navikt/dev

Prodsette: oppgradere deploy-action og deploye uten apinøkkel

Author: JulieHillRoa

.github/workflows/build-deploy-feature-branch-q1.yaml

@@ -8,6 +8,7 @@ env:
 permissions:
   packages: write
   contents: write
+  id-token: write
 jobs:
   build-and-push:
     name: Build and push
@@ -49,7 +50,6 @@ jobs:
       - name: Deploy application
         uses: nais/deploy/actions/deploy@v2
         env:
-          APIKEY: ${{ secrets.NAIS_DEPLOY_APIKEY }}
           CLUSTER: dev-fss
           RESOURCE: .nais/application/application-config-dev.yaml
           VAR: image=${{ needs.build-and-push.outputs.image }}

.github/workflows/deploy-alerts-to-prod.yaml

@@ -12,6 +12,8 @@ on:
 jobs:
   deploy-alerts:
     name: Deploy alerts to prod-fss
+    permissions:
+      id-token: write
     runs-on: ubuntu-latest
     steps:
       - name: Checkout
@@ -20,6 +22,5 @@ jobs:
       - name: Deploy to prod-fss
         uses: nais/deploy/actions/deploy@v2
         env:
-          APIKEY: ${{ secrets.NAIS_DEPLOY_APIKEY_OBO }}
           CLUSTER: prod-fss
           RESOURCE: .nais/alerts/alerts-config-prod.yaml

.github/workflows/deploy-unleash-api-token.yaml

@@ -10,6 +10,9 @@ on:
       - '.nais/application/unleash-apitoken-dev.yaml'
       - '.nais/application/unleash-apitoken-prod.yaml'
 
+permissions:
+  id-token: write
+
 jobs:
   deploy-dev:
     name: Deploy unleash-apitoken to dev
@@ -20,7 +23,6 @@ jobs:
       - name: Deploy unleash-apitoken
         uses: nais/deploy/actions/deploy@v2
         env:
-          APIKEY: ${{ secrets.NAIS_DEPLOY_APIKEY }}
           CLUSTER: dev-fss
           RESOURCE: .nais/application/unleash-apitoken-dev.yaml
           PRINT_PAYLOAD: true
@@ -36,7 +38,6 @@ jobs:
         uses: nais/deploy/actions/deploy@v2
         if: github.ref == 'refs/heads/master'
         env:
-          APIKEY: ${{ secrets.NAIS_DEPLOY_APIKEY }}
           CLUSTER: prod-fss
           RESOURCE: .nais/application/unleash-apitoken-prod.yaml
           PRINT_PAYLOAD: true

.github/workflows/main.yml

@@ -6,6 +6,7 @@ env:
 permissions:
   packages: write
   contents: write
+  id-token: write
 jobs:
   test:
     name: Run tests
@@ -34,8 +35,6 @@ jobs:
     if: github.ref == 'refs/heads/dev' || github.ref == 'refs/heads/master'
     outputs:
       image: ${{ steps.docker-build-push.outputs.image }}
-    permissions:
-      id-token: write
     steps:
       - name: Checkout
         uses: actions/checkout@v4
@@ -70,7 +69,6 @@ jobs:
       - name: Deploy application
         uses: nais/deploy/actions/deploy@v2
         env:
-          APIKEY: ${{ secrets.NAIS_DEPLOY_APIKEY }}
           CLUSTER: dev-fss
           RESOURCE: .nais/application/application-config-dev.yaml
           VAR: image=${{ needs.build-and-push.outputs.image }}
@@ -87,7 +85,6 @@ jobs:
       - name: Deploy application
         uses: nais/deploy/actions/deploy@v2
         env:
-          APIKEY: ${{ secrets.NAIS_DEPLOY_APIKEY }}
           CLUSTER: prod-fss
           RESOURCE: .nais/application/application-config-prod.yaml
           VAR: image=${{ needs.build-and-push.outputs.image }}

src/main/java/no/nav/pto/veilarbportefolje/arbeidsliste/v1/ArbeidsListeController.java

@@ -55,7 +55,7 @@ public ArbeidsListeController(
 
     @PostMapping
     public ResponseEntity opprettArbeidsListe(@RequestBody List<ArbeidslisteRequest> arbeidsliste) {
-        authService.tilgangTilOppfolging();
+        authService.innloggetVeilederHarTilgangTilOppfolging();
         List<String> tilgangErrors = getTilgangErrors(arbeidsliste);
         if (tilgangErrors.size() > 0) {
             return RestResponse.of(tilgangErrors).forbidden();
@@ -159,7 +159,7 @@ public Arbeidsliste deleteArbeidsliste(@PathVariable("fnr") String fnr) {
 
     @PostMapping("/delete")
     public RestResponse<String> deleteArbeidslisteListe(@RequestBody java.util.List<ArbeidslisteRequest> arbeidslisteData) {
-        authService.tilgangTilOppfolging();
+        authService.innloggetVeilederHarTilgangTilOppfolging();
 
         java.util.List<String> feiledeFnrs = new ArrayList<>();
         java.util.List<String> okFnrs = new ArrayList<>();
@@ -197,7 +197,7 @@ public RestResponse<String> deleteArbeidslisteListe(@RequestBody java.util.List<
 
     private void sjekkTilgangTilEnhet(Fnr fnr) {
         NavKontor enhet = brukerService.hentNavKontor(fnr).orElseThrow(() -> new ResponseStatusException(HttpStatus.INTERNAL_SERVER_ERROR, "Kunne ikke hente enhet for denne brukeren"));
-        authService.tilgangTilEnhet(enhet.getValue());
+        authService.innloggetVeilederHarTilgangTilEnhet(enhet.getValue());
     }
 
     private ArbeidslisteDTO data(ArbeidslisteRequest body, Fnr fnr) {
@@ -239,9 +239,9 @@ public static Arbeidsliste emptyArbeidsliste() {
     }
 
     private void validerOppfolgingOgBruker(String fnr) {
-        authService.tilgangTilOppfolging();
+        authService.innloggetVeilederHarTilgangTilOppfolging();
         Validation<String, Fnr> validateFnr = ValideringsRegler.validerFnr(fnr);
-        authService.tilgangTilBruker(fnr);
+        authService.innloggetVeilederHarTilgangTilBruker(fnr);
         if (validateFnr.isInvalid()) {
             throw new ResponseStatusException(HttpStatus.BAD_REQUEST);
         }

src/main/java/no/nav/pto/veilarbportefolje/arbeidsliste/v2/ArbeidsListeV2Controller.java

@@ -131,7 +131,7 @@ public Arbeidsliste deleteArbeidsliste(@RequestBody ArbeidslisteForBrukerRequest
 
     private void sjekkTilgangTilEnhet(Fnr fnr) {
         NavKontor enhet = brukerService.hentNavKontor(fnr).orElseThrow(() -> new ResponseStatusException(HttpStatus.INTERNAL_SERVER_ERROR, "Kunne ikke hente enhet for denne brukeren"));
-        authService.tilgangTilEnhet(enhet.getValue());
+        authService.innloggetVeilederHarTilgangTilEnhet(enhet.getValue());
     }
 
     private ArbeidslisteDTO data(ArbeidslisteV2Request body, Fnr fnr) {
@@ -150,9 +150,9 @@ public static Arbeidsliste emptyArbeidsliste() {
     }
 
     private void validerOppfolgingOgBruker(String fnr) {
-        authService.tilgangTilOppfolging();
+        authService.innloggetVeilederHarTilgangTilOppfolging();
         Validation<String, Fnr> validateFnr = ValideringsRegler.validerFnr(fnr);
-        authService.tilgangTilBruker(fnr);
+        authService.innloggetVeilederHarTilgangTilBruker(fnr);
         if (validateFnr.isInvalid()) {
             throw new ResponseStatusException(HttpStatus.BAD_REQUEST);
         }

src/main/java/no/nav/pto/veilarbportefolje/auth/AuthService.java

@@ -52,14 +52,14 @@ public AuthService(Pep veilarbPep, PoaoTilgangWrapper poaoTilgangWrapper, AzureA
                 .build();
     }
 
-    public void tilgangTilOppfolging() {
+    public void innloggetVeilederHarTilgangTilOppfolging() {
         VeilederId veilederId = getInnloggetVeilederIdent();
         Decision decisionPoaoTilgang = poaoTilgangWrapper.harVeilederTilgangTilModia();
         boolean harTilgang = Decision.Type.PERMIT.equals(decisionPoaoTilgang.getType());
         AuthUtils.test("oppfølgingsbruker", veilederId, harTilgang);
     }
 
-    public void tilgangTilEnhet(String enhet) {
+    public void innloggetVeilederHarTilgangTilEnhet(String enhet) {
         String veilederId = getInnloggetVeilederIdent().toString();
         AuthUtils.test("tilgang til enhet", Tuple.of(enhet, veilederId), harVeilederTilgangTilEnhet(veilederId, enhet));
     }
@@ -71,7 +71,7 @@ public boolean harVeilederTilgangTilEnhet(String veilederId, String enhet) {
         return abacResponse;
     }
 
-    public void tilgangTilBruker(String fnr) {
+    public void innloggetVeilederHarTilgangTilBruker(String fnr) {
         boolean abacResponse = veilarbPep.harTilgangTilPerson(getInnloggetBrukerToken(), ActionId.READ, Fnr.of(fnr));
         poaoTilgangWrapper.harTilgangTilPerson(Fnr.of(fnr));
         AuthUtils.test("tilgangTilBruker", fnr, abacResponse);

src/main/java/no/nav/pto/veilarbportefolje/controller/EnhetController.java

@@ -59,8 +59,8 @@ public Portefolje hentPortefoljeForEnhet(
         ValideringsRegler.sjekkEnhet(enhet);
         ValideringsRegler.sjekkSortering(sortDirection, sortField);
         ValideringsRegler.sjekkFiltervalg(filtervalg);
-        authService.tilgangTilOppfolging();
-        authService.tilgangTilEnhet(enhet);
+        authService.innloggetVeilederHarTilgangTilOppfolging();
+        authService.innloggetVeilederHarTilgangTilEnhet(enhet);
 
         BrukereMedAntall brukereMedAntall = opensearchService.hentBrukere(enhet, Optional.empty(), sortDirection, sortField, filtervalg, fra, antall);
         List<Bruker> sensurerteBrukereSublist = authService.sensurerBrukere(brukereMedAntall.getBrukere());
@@ -74,15 +74,15 @@ public Portefolje hentPortefoljeForEnhet(
     @GetMapping("/{enhet}/portefoljestorrelser")
     public FacetResults hentPortefoljestorrelser(@PathVariable("enhet") String enhet) {
         ValideringsRegler.sjekkEnhet(enhet);
-        authService.tilgangTilEnhet(enhet);
+        authService.innloggetVeilederHarTilgangTilEnhet(enhet);
 
         return opensearchService.hentPortefoljestorrelser(enhet);
     }
 
     @GetMapping("/{enhet}/portefolje/statustall")
     public EnhetPortefoljeStatustallRespons hentEnhetPortefoljeStatustall(@PathVariable("enhet") String enhet) {
         ValideringsRegler.sjekkEnhet(enhet);
-        authService.tilgangTilEnhet(enhet);
+        authService.innloggetVeilederHarTilgangTilEnhet(enhet);
 
         return new EnhetPortefoljeStatustallRespons(
                 opensearchService.hentStatusTallForEnhetPortefolje(enhet, BRUKERE_SOM_VEILEDER_HAR_INNSYNSRETT_PÅ),
@@ -93,7 +93,7 @@ public EnhetPortefoljeStatustallRespons hentEnhetPortefoljeStatustall(@PathVaria
     @GetMapping("/{enhet}/tiltak")
     public EnhetTiltak hentTiltak(@PathVariable("enhet") String enhet) {
         ValideringsRegler.sjekkEnhet(enhet);
-        authService.tilgangTilEnhet(enhet);
+        authService.innloggetVeilederHarTilgangTilEnhet(enhet);
 
         return tiltakService.hentEnhettiltak(EnhetId.of(enhet));
     }
@@ -103,7 +103,7 @@ public List<Foedeland> hentFoedeland(
             @PathVariable("enhet")
             String enhet) {
         ValideringsRegler.sjekkEnhet(enhet);
-        authService.tilgangTilEnhet(enhet);
+        authService.innloggetVeilederHarTilgangTilEnhet(enhet);
 
         return tryCacheFirst(enhetFoedelandCache, enhet,
                 () -> personOpprinnelseService.hentFoedeland(enhet));
@@ -114,7 +114,7 @@ public List<TolkSpraak> hentTolkSpraak(
             @PathVariable("enhet")
             String enhet) {
         ValideringsRegler.sjekkEnhet(enhet);
-        authService.tilgangTilEnhet(enhet);
+        authService.innloggetVeilederHarTilgangTilEnhet(enhet);
 
         return tryCacheFirst(enhetTolkSpraakCache, enhet,
                 () -> personOpprinnelseService.hentTolkSpraak(enhet));
@@ -126,7 +126,7 @@ public List<GeografiskBosted> hentGeografiskBosted(
             @PathVariable("enhet")
             String enhet) {
         ValideringsRegler.sjekkEnhet(enhet);
-        authService.tilgangTilEnhet(enhet);
+        authService.innloggetVeilederHarTilgangTilEnhet(enhet);
 
         return tryCacheFirst(enhetGeografiskBostedCache, enhet,
                 () -> bostedService.hentGeografiskBosted(enhet));

src/main/java/no/nav/pto/veilarbportefolje/controller/VeilederController.java

@@ -42,8 +42,8 @@ public Portefolje hentPortefoljeForVeileder(
         ValideringsRegler.sjekkEnhet(enhet);
         ValideringsRegler.sjekkSortering(sortDirection, sortField);
         ValideringsRegler.sjekkFiltervalg(filtervalg);
-        authService.tilgangTilOppfolging();
-        authService.tilgangTilEnhet(enhet);
+        authService.innloggetVeilederHarTilgangTilOppfolging();
+        authService.innloggetVeilederHarTilgangTilEnhet(enhet);
 
         BrukereMedAntall brukereMedAntall = opensearchService.hentBrukere(enhet, Optional.of(veilederIdent), sortDirection, sortField, filtervalg, fra, antall);
         List<Bruker> sensurerteBrukereSublist = authService.sensurerBrukere(brukereMedAntall.getBrukere());
@@ -58,7 +58,7 @@ public Portefolje hentPortefoljeForVeileder(
     public VeilederPortefoljeStatustallRespons hentVeilederportefoljeStatustall(@PathVariable("veilederident") String veilederIdent, @RequestParam("enhet") String enhet) {
         ValideringsRegler.sjekkEnhet(enhet);
         ValideringsRegler.sjekkVeilederIdent(veilederIdent, false);
-        authService.tilgangTilEnhet(enhet);
+        authService.innloggetVeilederHarTilgangTilEnhet(enhet);
 
         return new VeilederPortefoljeStatustallRespons(
                 opensearchService.hentStatustallForVeilederPortefolje(veilederIdent, enhet)
@@ -69,7 +69,7 @@ public VeilederPortefoljeStatustallRespons hentVeilederportefoljeStatustall(@Pat
     public List<Arbeidsliste> hentArbeidslisteForVeileder(@PathVariable("veilederident") VeilederId veilederIdent, @RequestParam("enhet") EnhetId enhet) {
         ValideringsRegler.sjekkEnhet(enhet.get());
         ValideringsRegler.sjekkVeilederIdent(veilederIdent.getValue(), false);
-        authService.tilgangTilEnhet(enhet.get());
+        authService.innloggetVeilederHarTilgangTilEnhet(enhet.get());
 
         return arbeidslisteService.getArbeidslisteForVeilederPaEnhet(enhet, veilederIdent);
     }
@@ -79,7 +79,7 @@ public List<Moteplan> hentMoteplanForVeileder(@PathVariable("veilederident") Vei
         ValideringsRegler.sjekkEnhet(enhet.get());
         ValideringsRegler.sjekkVeilederIdent(veilederIdent.getValue(), false);
 
-        authService.tilgangTilEnhet(enhet.get());
+        authService.innloggetVeilederHarTilgangTilEnhet(enhet.get());
         BrukerinnsynTilganger tilgangTilSkjermeteBrukere = authService.hentVeilederBrukerInnsynTilganger();
 
         return aktivitetService.hentMoteplan(veilederIdent, enhet, tilgangTilSkjermeteBrukere);

src/main/java/no/nav/pto/veilarbportefolje/fargekategori/FargekategoriController.java

@@ -37,9 +37,9 @@ public ResponseEntity<FargekategoriEntity> hentFargekategoriForBruker(@RequestBo
             throw new ResponseStatusException(HttpStatus.NOT_FOUND, "Bruker med oppgitt fnr er ikke under oppfølging");
         }
 
-        authService.tilgangTilOppfolging();
-        authService.tilgangTilBruker(request.fnr.get());
-        authService.tilgangTilEnhet(brukerEnhet.get().toString());
+        authService.innloggetVeilederHarTilgangTilOppfolging();
+        authService.innloggetVeilederHarTilgangTilBruker(request.fnr.get());
+        authService.innloggetVeilederHarTilgangTilEnhet(brukerEnhet.get().toString());
 
         try {
             Optional<FargekategoriEntity> kanskjeFargekategori = fargekategoriService.hentFargekategoriForBruker(request);
@@ -64,9 +64,9 @@ public ResponseEntity<FargekategoriResponse> oppdaterFargekategoriForBruker(@Req
             throw new ResponseStatusException(HttpStatus.NOT_FOUND, "Bruker med oppgitt fnr er ikke under oppfølging");
         }
 
-        authService.tilgangTilOppfolging();
-        authService.tilgangTilBruker(request.fnr.get());
-        authService.tilgangTilEnhet(brukerEnhet.get().toString());
+        authService.innloggetVeilederHarTilgangTilOppfolging();
+        authService.innloggetVeilederHarTilgangTilBruker(request.fnr.get());
+        authService.innloggetVeilederHarTilgangTilEnhet(brukerEnhet.get().toString());
         Validation<String, Fnr> erVeilederForBrukerValidation = fargekategoriService.erVeilederForBruker(request.fnr.get());
 
         if (erVeilederForBrukerValidation.isInvalid()) {
@@ -90,7 +90,7 @@ public ResponseEntity<FargekategoriResponse> oppdaterFargekategoriForBruker(@Req
     @PutMapping("/fargekategorier")
     public ResponseEntity<BatchUpsertResponse> batchoppdaterFargekategoriForBruker(@RequestBody BatchoppdaterFargekategoriRequest request) {
         VeilederId innloggetVeileder = AuthUtils.getInnloggetVeilederIdent();
-        authService.tilgangTilOppfolging();
+        authService.innloggetVeilederHarTilgangTilOppfolging();
 
         BatchUpsertResponse responseEtterValidering = validerRequest(request);
         if (responseEtterValidering.errors.size() > 0) {
@@ -150,11 +150,9 @@ private BatchUpsertResponse sjekkVeilederautorisering(BatchoppdaterFargekategori
                     );
                 }
 
-                // Veileder har tilgang til enheten til brukeren
-                authService.tilgangTilEnhet(brukerEnhet.get().getValue());
+                authService.innloggetVeilederHarTilgangTilEnhet(brukerEnhet.get().getValue());
 
-                // Veileder har lov til å se brukeren
-                authService.tilgangTilBruker(fnr.get());
+                authService.innloggetVeilederHarTilgangTilBruker(fnr.get());
 
                 boolean erIkkeVeilederForBruker = fargekategoriService.erVeilederForBruker(fnr.get()).isInvalid();
                 if (erIkkeVeilederForBruker) {

src/main/java/no/nav/pto/veilarbportefolje/huskelapp/controller/HuskelappController.java

@@ -79,7 +79,7 @@ public ResponseEntity redigerHuskelapp(@RequestBody HuskelappRedigerRequest husk
 
     @PostMapping("/hent-huskelapp-for-veileder")
     public ResponseEntity<List<HuskelappResponse>> hentHuskelapp(@RequestBody HuskelappForVeilederRequest huskelappForVeilederRequest) {
-        authService.tilgangTilEnhet(huskelappForVeilederRequest.enhetId().get());
+        authService.innloggetVeilederHarTilgangTilEnhet(huskelappForVeilederRequest.enhetId().get());
         try {
             List<HuskelappResponse> huskelappList = huskelappService.hentHuskelapp(huskelappForVeilederRequest.veilederId(), huskelappForVeilederRequest.enhetId()).stream().map(this::mapToHuskelappResponse).collect(Collectors.toList());
             return ResponseEntity.ok(huskelappList);
@@ -137,10 +137,10 @@ private Optional<AktorId> hentAktorId(Fnr fnr) {
     }
 
     private void validerOppfolgingOgBrukerOgEnhet(String fnr, String enhetId) {
-        authService.tilgangTilOppfolging();
+        authService.innloggetVeilederHarTilgangTilOppfolging();
         Validation<String, Fnr> validateFnr = ValideringsRegler.validerFnr(fnr);
-        authService.tilgangTilBruker(fnr);
-        authService.tilgangTilEnhet(enhetId);
+        authService.innloggetVeilederHarTilgangTilBruker(fnr);
+        authService.innloggetVeilederHarTilgangTilEnhet(enhetId);
         if (validateFnr.isInvalid()) {
             throw new ResponseStatusException(HttpStatus.BAD_REQUEST);
         }

src/test/java/no/nav/pto/veilarbportefolje/arbeidsliste/ArbeidslisteIntegrationTest.java

@@ -710,7 +710,7 @@ void setupMocks() {
         when(veilarbPep.harVeilederTilgangTilEnhet(any(), any())).thenReturn(true);
         when(veilarbPep.harTilgangTilPerson(any(), any(), any())).thenReturn(true);
         when(authService.harVeilederTilgangTilEnhet(any(), any())).thenReturn(true);
-        Mockito.doNothing().when(authService).tilgangTilOppfolging();
+        Mockito.doNothing().when(authService).innloggetVeilederHarTilgangTilOppfolging();
         when(brukerService.hentVeilederForBruker(AktorId.of(TEST_AKTORID))).thenReturn(Optional.of(VeilederId.of(
                 TEST_VEILEDERIDENT)));
         when(brukerService.hentVeilederForBruker(AktorId.of(TEST_AKTORID_2))).thenReturn(Optional.of(VeilederId.of(

src/test/java/no/nav/pto/veilarbportefolje/fargekategori/FargekategoriControllerTest.java

@@ -640,8 +640,8 @@ void setup() {
         when(aktorClient.hentAktorId(TESTBRUKER_FNR)).thenReturn(TESTBRUKER_AKTOR_ID);
         when(aktorClient.hentAktorId(TESTBRUKER2_FNR)).thenReturn(TESTBRUKER2_AKTOR_ID);
         when(aktorClient.hentAktorId(TESTBRUKER3_FNR)).thenReturn(TESTBRUKER3_AKTOR_ID);
-        doNothing().when(authService).tilgangTilOppfolging();
-        doNothing().when(authService).tilgangTilBruker(TESTBRUKER_FNR.get());
-        doNothing().when(authService).tilgangTilEnhet(TESTENHET.getValue());
+        doNothing().when(authService).innloggetVeilederHarTilgangTilOppfolging();
+        doNothing().when(authService).innloggetVeilederHarTilgangTilBruker(TESTBRUKER_FNR.get());
+        doNothing().when(authService).innloggetVeilederHarTilgangTilEnhet(TESTENHET.getValue());
     }
 }