gir lesetilgang til dagpenger med en egendefinert rolle

Co-authored-by: Håkon Arneng Holmstedt <hakon.arneng.holmstedt@nav.no> Co-authored-by: Erik Maximilian Forsman <erik.maximilian.forsman@nav.no>
navikt · Nov 13, 2024 · f9f986f · f9f986f
1 parent bd32658
commit f9f986f
Show file tree

Hide file tree

Showing 5 changed files with 34 additions and 0 deletions.
diff --git a/deploy/dev-gcp.yml b/deploy/dev-gcp.yml
@@ -58,6 +58,9 @@ spec:
         - application: dp-oppslag-ytelser
           namespace: teamdagpenger
           cluster: dev-gcp
+          permissions:
+              roles:
+                  - "dagpenger-les"
     outbound:
       external:
         - host: sykepengeperioder-api.dev-fss-pub.nais.io

diff --git a/deploy/prod-gcp.yml b/deploy/prod-gcp.yml
@@ -61,6 +61,9 @@ spec:
         - application: dp-oppslag-ytelser
           namespace: teamdagpenger
           cluster: prod-gcp
+          permissions:
+              roles:
+                  - "dagpenger-les"
     outbound:
       external:
         - host: sykepengeperioder-api.prod-fss-pub.nais.io

diff --git a/src/main/kotlin/no/nav/helse/spokelse/ApiTilgangsstyring.kt b/src/main/kotlin/no/nav/helse/spokelse/ApiTilgangsstyring.kt
@@ -3,11 +3,13 @@ package no.nav.helse.spokelse
 import io.ktor.server.application.*
 import io.ktor.server.auth.*
 import io.ktor.server.auth.jwt.*
+import no.nav.helse.spokelse.ApplicationIdAllowlist.applicationId
 import org.slf4j.LoggerFactory
 
 interface ApiTilgangsstyring {
     fun utbetaltePerioder(call: ApplicationCall)
     fun utbetaltePerioderAap(call: ApplicationCall)
+    fun utbetaltePerioderDagpenger(call: ApplicationCall)
     fun grunnlag(call: ApplicationCall)
 }
 
@@ -18,6 +20,11 @@ internal object ApplicationIdAllowlist: ApiTilgangsstyring {
     override fun utbetaltePerioderAap(call: ApplicationCall) {
         call.håndhevTilgangTil("utbetalte-perioder-aap", AllowlistUtbetaltePerioderAap)
     }
+
+    override fun utbetaltePerioderDagpenger(call: ApplicationCall) {
+        call.håndhevTilgangTil("utbetalte-perioder-dagpenger", "dagpenger-les")
+    }
+
     override fun grunnlag(call: ApplicationCall) {
         call.håndhevTilgangTil("grunnlag", AllowlistGrunnlag)
     }
@@ -58,4 +65,17 @@ internal object ApplicationIdAllowlist: ApiTilgangsstyring {
         }
         sikkerlogg.info("Håndterer request til /$endepunkt fra $app ($applicationId)")
     }
+
+    private val ApplicationCall.roles get() = this
+        .principal<JWTPrincipal>()?.getListClaim("roles", String::class)
+        ?: emptyList()
+
+    private fun ApplicationCall.håndhevTilgangTil(endepunkt: String, påkrevdRolle: String) {
+        if (!roles.contains(påkrevdRolle)) {
+            "Applikasjonen $applicationId har ikke tilgang til /$endepunkt".let {
+                sikkerlogg.error(it)
+                throw IllegalStateException(it)
+            }
+        }
+    }
 }
diff --git a/src/main/kotlin/no/nav/helse/spokelse/utbetalteperioder/UtbetaltePerioderApi.kt b/src/main/kotlin/no/nav/helse/spokelse/utbetalteperioder/UtbetaltePerioderApi.kt
@@ -22,4 +22,10 @@ internal fun Route.utbetaltePerioderApi(utbetaltePerioder: UtbetaltePerioder, ti
         val response = utbetaltePerioder.hent(request, groupBy = setOf(GroupBy.grad), tagsFilter = IngenTags)
         call.respondText(response, Json)
     }
+    post("/utbetalte-perioder-dagpenger") {
+        tilgangsstyrings.utbetaltePerioderDagpenger(call)
+        val request = objectMapper.readTree(call.receiveText())
+        val response = utbetaltePerioder.hent(request, groupBy = setOf(GroupBy.grad), tagsFilter = IngenTags)
+        call.respondText(response, Json)
+    }
 }
diff --git a/src/test/kotlin/no/nav/helse/spokelse/AbstractE2ETest.kt b/src/test/kotlin/no/nav/helse/spokelse/AbstractE2ETest.kt
@@ -22,6 +22,7 @@ import org.awaitility.Awaitility
 import org.junit.jupiter.api.Assertions.assertEquals
 import org.junit.jupiter.api.BeforeAll
 import org.junit.jupiter.api.BeforeEach
+import org.junit.jupiter.api.Disabled
 import org.junit.jupiter.api.TestInstance
 import org.skyscreamer.jsonassert.JSONAssert
 import org.slf4j.LoggerFactory
@@ -87,6 +88,7 @@ internal abstract class AbstractE2ETest {
                 spokelse(env, auth, gamleUtbetalingerDao, TbdUtbetalingApi(tbdUtbetalingDao), object: ApiTilgangsstyring {
                     override fun utbetaltePerioder(call: ApplicationCall) { check(call.applicationId == "fp_object_id") }
                     override fun utbetaltePerioderAap(call: ApplicationCall) { check(call.applicationId == "fp_object_id") }
+                    override fun utbetaltePerioderDagpenger(call: ApplicationCall) { check(call.applicationId == "fp_object_id") }
                     override fun grunnlag(call: ApplicationCall) { check(call.applicationId == "fp_object_id") }
                 })
             },