auth/auth-core/src/main/java/org/onap/aaf/auth/org/Organization.java

   1 /**
   2  * ============LICENSE_START====================================================
   3  * org.onap.aaf
   4  * ===========================================================================
   5  * Copyright (c) 2018 AT&T Intellectual Property. All rights reserved.
   6  * ===========================================================================
   7  * Licensed under the Apache License, Version 2.0 (the "License");
   8  * you may not use this file except in compliance with the License.
   9  * You may obtain a copy of the License at
  10  *
  11  *      http://www.apache.org/licenses/LICENSE-2.0
  12  *
  13  * Unless required by applicable law or agreed to in writing, software
  14  * distributed under the License is distributed on an "AS IS" BASIS,
  15  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  16  * See the License for the specific language governing permissions and
  17  * limitations under the License.
  18  * ============LICENSE_END====================================================
  19  *
  20  */
  21
  22 package org.onap.aaf.auth.org;
  23
  24 import java.util.ArrayList;
  25 import java.util.Date;
  26 import java.util.GregorianCalendar;
  27 import java.util.HashSet;
  28 import java.util.List;
  29 import java.util.Set;
  30
  31 import org.onap.aaf.auth.env.AuthzTrans;
  32
  33 /**
  34  * Organization
  35  *
  36  * There is Organizational specific information required which we have extracted to a plugin
  37  *
  38  * It supports using Company Specific User Directory lookups, as well as supporting an
  39  * Approval/Validation Process to simplify control of Roles and Permissions for large organizations
  40  * in lieu of direct manipulation by a set of Admins.
  41  *
  42  * @author Jonathan
  43  *
  44  */
  45 public interface Organization {
  46     public static final String N_A = "n/a";
  47
  48     public interface Identity {
  49         public String id();
  50         public String fullID() throws OrganizationException; // Fully Qualified ID (includes Domain of Organization)
  51         public String type();                 // Must be one of "IdentityTypes", see below
  52         public Identity responsibleTo() throws OrganizationException;         // Chain of Command, or Application ID Sponsor
  53         public List<String> delegate();         // Someone who has authority to act on behalf of Identity
  54         public String email();
  55         public String fullName();
  56         public String firstName();
  57         /**
  58          * If Responsible entity, then String returned is "null"  meaning "no Objection".
  59          * If String exists, it is the Policy objection text setup by the entity.
  60          * @return
  61          */
  62         public String mayOwn();            // Is id passed belong to a person suitable to be Responsible for content Management
  63         public boolean isFound();                // Is Identity found in Identity stores
  64         public boolean isPerson();                // Whether a Person or a Machine (App)
  65         public Organization org();                 // Organization of Identity
  66
  67
  68         public static String mixedCase(String in) {
  69                 StringBuilder sb = new StringBuilder();
  70                 for(int i=0;i<in.length();++i) {
  71                         if(i==0) {
  72                                 sb.append(Character.toUpperCase(in.charAt(i)));
  73                         } else {
  74                                 sb.append(Character.toLowerCase(in.charAt(i)));
  75                         }
  76                 }
  77                 return sb.toString();
  78         }
  79     }
  80
  81
  82     /**
  83      * Name of Organization, suitable for Logging
  84      * @return
  85      */
  86     public String getName();
  87
  88     /**
  89      * Realm, for use in distinguishing IDs from different systems/Companies
  90      * @return
  91      */
  92     public String getRealm();
  93
  94     public boolean supportsRealm(String user);
  95
  96     public void addSupportedRealm(String r);
  97
  98     public String getDomain();
  99
 100     /**
 101      * Get Identity information based on userID
 102      *
 103      * @param id
 104      * @return
 105      */
 106     public Identity getIdentity(AuthzTrans trans, String id) throws OrganizationException;
 107
 108     /**
 109      * May AutoDelete
 110      *
 111      * Deletion of an Identity that has been removed from an Organization can be dangerous.  Mistakes may have been made
 112      * in the Organization side, a Feed might be corrupted, an API might not be quite right.
 113      *
 114      * The implementation of this method can use a double check of some sort, such as comparsion of missing ID in Organization
 115      * feed with a "Deleted ID" feed.
 116      *
 117      * The failure to be in Organization will still be reported, if returned "false", but if true, it is taken as an
 118      * ok to proceed with deletion.
 119      */
 120         public boolean mayAutoDelete(AuthzTrans trans, String id);
 121
 122
 123     /**
 124      * Does the ID pass Organization Standards
 125      *
 126      * Return a Blank (empty) String if empty, otherwise, return a "\n" separated list of
 127      * reasons why it fails
 128      *
 129      * @param id
 130      * @return
 131      */
 132     public String isValidID(AuthzTrans trans, String id);
 133
 134     /**
 135      * Return a Blank (empty) String if empty, otherwise, return a "\n" separated list of
 136      * reasons why it fails
 137      *
 138      *  Identity is passed in to allow policies regarding passwords that are the same as user ID
 139      *
 140      *  any entries for "prev" imply a reset
 141      *
 142      * @param id
 143      * @param password
 144      * @return
 145      */
 146     public String isValidPassword(final AuthzTrans trans, final String id, final String password, final String ... prev);
 147
 148     /**
 149      * Return a list of Strings denoting Organization Password Rules, suitable for posting on a WebPage with <p>
 150      */
 151     public String[] getPasswordRules();
 152
 153     /**
 154      *
 155      * @param id
 156      * @return
 157      */
 158     public boolean isValidCred(final AuthzTrans trans, final String id);
 159
 160     /**
 161      * If response is Null, then it is valid.  Otherwise, the Organization specific reason is returned.
 162      *
 163      * @param trans
 164      * @param policy
 165      * @param executor
 166      * @param vars
 167      * @return
 168      * @throws OrganizationException
 169      */
 170     public String validate(AuthzTrans trans, Policy policy, Executor executor, String ... vars) throws OrganizationException;
 171
 172     /**
 173      * Does your Company distinguish essential permission structures by kind of Identity?
 174      * i.e. Employee, Contractor, Vendor
 175      * @return
 176      */
 177     public Set<String> getIdentityTypes();
 178
 179     public enum Notify {
 180         Approval(1),
 181         PasswordExpiration(2),
 182         RoleExpiration(3);
 183
 184         final int id;
 185         Notify(int id) {this.id = id;}
 186         public int getValue() {return id;}
 187         public static Notify from(int type) {
 188             for (Notify t : Notify.values()) {
 189                 if (t.id==type) {
 190                     return t;
 191                 }
 192             }
 193             return null;
 194         }
 195     }
 196
 197     public enum Response{
 198         OK,
 199         ERR_NotImplemented,
 200         ERR_UserNotExist,
 201         ERR_NotificationFailure,
 202         };
 203
 204     public enum Expiration {
 205         Password,
 206         TempPassword,
 207         Future,
 208         UserInRole,
 209         UserDelegate,
 210         ExtendPassword
 211     }
 212
 213     public enum Policy {
 214         CHANGE_JOB,
 215         LEFT_COMPANY,
 216         CREATE_MECHID,
 217         CREATE_MECHID_BY_PERM_ONLY,
 218         OWNS_MECHID,
 219         AS_RESPONSIBLE,
 220         MAY_EXTEND_CRED_EXPIRES,
 221         MAY_APPLY_DEFAULT_REALM
 222     }
 223
 224     /**
 225      * Notify a User of Action or Info
 226      *
 227      * @param type
 228      * @param url
 229      * @param users (separated by commas)
 230      * @param ccs (separated by commas)
 231      * @param summary
 232      */
 233
 234     public Response notify(AuthzTrans trans, Notify type, String url, String ids[], String ccs[], String summary, Boolean urgent);
 235
 236     /**
 237      * (more) generic way to send an email
 238      *
 239      * @param toList
 240      * @param ccList
 241      * @param subject
 242      * @param body
 243      * @param urgent
 244      */
 245
 246     public int sendEmail(AuthzTrans trans, List<String> toList, List<String> ccList, String subject, String body, Boolean urgent) throws OrganizationException;
 247
 248     /**
 249      * whenToValidate
 250      *
 251      * Authz support services will ask the Organization Object at startup when it should
 252      * kickoff Validation processes given particular types.
 253      *
 254      * This allows the Organization to express Policy
 255      *
 256      * Turn off Validation behavior by returning "null"
 257      *
 258      */
 259     public Date whenToValidate(Notify type, Date lastValidated);
 260
 261
 262     /**
 263      * Expiration
 264      *
 265      * Given a Calendar item of Start (or now), set the Expiration Date based on the Policy
 266      * based on type.
 267      *
 268      * For instance, "Passwords expire in 3 months"
 269      *
 270      * The Extra Parameter is used by certain Orgs.
 271      *
 272      * For Password, the extra is UserID, so it can check the User Type
 273      *
 274      * @param gc
 275      * @param exp
 276      * @return
 277      */
 278     public GregorianCalendar expiration(GregorianCalendar gc, Expiration exp, String ... extra);
 279
 280     /**
 281      * Get Email Warning timing policies
 282      * @return
 283      */
 284     public EmailWarnings emailWarningPolicy();
 285
 286     /**
 287      *
 288      * @param trans
 289      * @param user
 290      * @return
 291      */
 292     public List<Identity> getApprovers(AuthzTrans trans, String user) throws OrganizationException ;
 293
 294     /*
 295      *
 296      * @param user
 297      * @param type
 298      * @param users
 299      * @return
 300     public Response notifyRequest(AuthzTrans trans, String user, Approval type, List<User> approvers);
 301     */
 302
 303     /**
 304      *
 305      * @return
 306      */
 307     public String getApproverType();
 308
 309     /*
 310      * startOfDay - define for company what hour of day business starts (specifically for password and other expiration which
 311      *   were set by Date only.)
 312      *
 313      * @return
 314      */
 315     public int startOfDay();
 316
 317     /**
 318      * implement this method to support any IDs that can have multiple entries in the cred table
 319      * NOTE: the combination of ID/expiration date/(encryption type when implemented) must be unique.
 320      *          Since expiration date is based on startOfDay for your company, you cannot create many
 321      *          creds for the same ID in the same day.
 322      * @param id
 323      * @return
 324      */
 325     public boolean canHaveMultipleCreds(String id);
 326
 327     boolean isTestEnv();
 328
 329     public void setTestMode(boolean dryRun);
 330
 331     public static final Organization NULL = new Organization()
 332     {
 333         private final GregorianCalendar gc = new GregorianCalendar(1900, 1, 1);
 334         private final List<Identity> nullList = new ArrayList<>();
 335         private final Set<String> nullStringSet = new HashSet<>();
 336         private String[] nullStringArray = new String[0];
 337         private final Identity nullIdentity = new Identity() {
 338             List<String> nullUser = new ArrayList<>();
 339             @Override
 340             public String type() {
 341                 return N_A;
 342             }
 343
 344             @Override
 345             public String mayOwn() {
 346                 return N_A; // negative case
 347             }
 348
 349             @Override
 350             public boolean isFound() {
 351                 return false;
 352             }
 353
 354             @Override
 355             public String id() {
 356                 return N_A;
 357             }
 358
 359             @Override
 360             public String fullID() {
 361                 return N_A;
 362             }
 363
 364             @Override
 365             public String email() {
 366                 return N_A;
 367             }
 368
 369             @Override
 370             public List<String> delegate() {
 371                 return nullUser;
 372             }
 373             @Override
 374             public String fullName() {
 375                 return N_A;
 376             }
 377             @Override
 378             public Organization org() {
 379                 return NULL;
 380             }
 381             @Override
 382             public String firstName() {
 383                 return N_A;
 384             }
 385             @Override
 386             public boolean isPerson() {
 387                 return false;
 388             }
 389
 390             @Override
 391             public Identity responsibleTo() {
 392                 return null;
 393             }
 394         };
 395         @Override
 396         public String getName() {
 397             return N_A;
 398         }
 399
 400         @Override
 401         public String getRealm() {
 402             return N_A;
 403         }
 404
 405         @Override
 406         public boolean supportsRealm(String r) {
 407             return false;
 408         }
 409
 410         @Override
 411         public void addSupportedRealm(String r) {
 412         }
 413
 414         @Override
 415         public String getDomain() {
 416             return N_A;
 417         }
 418
 419         @Override
 420         public Identity getIdentity(AuthzTrans trans, String id) {
 421             return nullIdentity;
 422         }
 423
 424         @Override
 425         public String isValidID(final AuthzTrans trans, String id) {
 426             return N_A;
 427         }
 428
 429         @Override
 430         public String isValidPassword(final AuthzTrans trans, final String user, final String password, final String... prev) {
 431             return N_A;
 432         }
 433
 434         @Override
 435         public Set<String> getIdentityTypes() {
 436             return nullStringSet;
 437         }
 438
 439         @Override
 440         public Response notify(AuthzTrans trans, Notify type, String url,
 441                 String[] users, String[] ccs, String summary, Boolean urgent) {
 442             return Response.ERR_NotImplemented;
 443         }
 444
 445         @Override
 446         public int sendEmail(AuthzTrans trans, List<String> toList, List<String> ccList,
 447                 String subject, String body, Boolean urgent) throws OrganizationException {
 448             return 0;
 449         }
 450
 451         @Override
 452         public Date whenToValidate(Notify type, Date lastValidated) {
 453             return gc.getTime();
 454         }
 455
 456         @Override
 457         public GregorianCalendar expiration(GregorianCalendar gc,
 458                 Expiration exp, String... extra) {
 459             return gc;
 460         }
 461
 462         @Override
 463         public List<Identity> getApprovers(AuthzTrans trans, String user)
 464                 throws OrganizationException {
 465             return nullList;
 466         }
 467
 468         @Override
 469         public String getApproverType() {
 470             return "";
 471         }
 472
 473         @Override
 474         public int startOfDay() {
 475             return 0;
 476         }
 477
 478         @Override
 479         public boolean canHaveMultipleCreds(String id) {
 480             return false;
 481         }
 482
 483         @Override
 484         public boolean isValidCred(final AuthzTrans trans, final String id) {
 485             return false;
 486         }
 487
 488         @Override
 489         public String validate(AuthzTrans trans, Policy policy, Executor executor, String ... vars)
 490                 throws OrganizationException {
 491             return "Null Organization rejects all Policies";
 492         }
 493
 494         @Override
 495         public boolean isTestEnv() {
 496             return false;
 497         }
 498
 499         @Override
 500         public void setTestMode(boolean dryRun) {
 501         }
 502
 503         @Override
 504         public EmailWarnings emailWarningPolicy() {
 505             return new EmailWarnings() {
 506
 507                 @Override
 508                 public long credEmailInterval()
 509                 {
 510                     return 604800000L; // 7 days in millis 1000 * 86400 * 7
 511                 }
 512
 513                 @Override
 514                 public long roleEmailInterval()
 515                 {
 516                     return 604800000L; // 7 days in millis 1000 * 86400 * 7
 517                 }
 518
 519                 @Override
 520                 public long apprEmailInterval() {
 521                     return 259200000L; // 3 days in millis 1000 * 86400 * 3
 522                 }
 523
 524                 @Override
 525                 public long  credExpirationWarning()
 526                 {
 527                     return( 2592000000L ); // One month, in milliseconds 1000 * 86400 * 30  in milliseconds
 528                 }
 529
 530                 @Override
 531                 public long roleExpirationWarning()
 532                 {
 533                     return( 2592000000L ); // One month, in milliseconds 1000 * 86400 * 30  in milliseconds
 534                 }
 535
 536                 @Override
 537                 public long emailUrgentWarning()
 538                 {
 539                     return( 1209600000L ); // Two weeks, in milliseconds 1000 * 86400 * 14  in milliseconds
 540                 }
 541
 542             };
 543
 544
 545         }
 546
 547         @Override
 548         public String[] getPasswordRules() {
 549             return nullStringArray;
 550         }
 551
 552         @Override
 553         public boolean mayAutoDelete(AuthzTrans trans, String id) {
 554                 // provide a corresponding feed that indicates that an ID has been intentionally removed from identities.dat table.
 555                 return false;
 556         }
 557
 558     };
 559 }
 560
 561