FAQs zur Firewall mit Jira Connector (selbst gehosteter Server)

Dieser Artikel beschreibt die Server- und Firewall-Anforderungen, die vor der Konfiguration eines selbst gehosteten Servers im Smartsheet for Jira Connector erfüllt sein müssen. Wenn Sie keine Firewall verwenden und eine Anleitung zur Einrichtung des Jira Connectors suchen, lesen Sie den Artikel Jira Cloud und Einrichtung eines selbst gehosteten Servers im Hilfecenter. 

Bevor Sie beginnen: Anforderungen

Um eine erfolgreiche Einrichtung des Smartsheet for Jira Connectors zu gewährleisten, muss Ihr selbst gehosteter Jira-Server folgende Anforderungen erfüllen:

  • Jira Version 7.2 oder höher für selbst gehostete Jira-Server.
  • Ihr Jira-Server muss so konfiguriert sein, dass Smartsheet eine Verbindung über das Internet zu ihm herstellen kann: Es ist eine sichere (HTTPS-)Verbindung erforderlich.

    HINWEIS:Smartsheet unterstützt einen spezifischen Satz an Zertifikaten einer Zertifikatstelle, der in Java enthalten ist.
     
  • Abgelaufene oder unvollständige Zertifikatstellen werden als ungültig angesehen. Fragen Sie Ihren primären Smartsheet-Kontakt vor oder während des Kaufs danach. 
  • Wenn Sie eine Firewall verwenden, erhalten Sie auch unten unter Die Firewall konfigurieren Informationen zu den weiteren Anforderungen.

Ihre Firewall für den Connector konfigurieren

Möglicherweise müssen Sie Ihre Firewall-Einstellungen so ändern, dass die Kommunikation zwischen Ihrem selbst gehosteten Jira-Server und dem Cloud-basierten Jira-Connector möglich wird. Berücksichtigen Sie Folgendes:

  • Der Smartsheet for Jira Connector wird in der Cloud ausgeführt und muss eine Verbindung zu Ihrem Jira-Server herstellen können. Wenn Ihr Jira-Server durch eine Firewall geschützt ist, muss der IT-Administrator Ihrer Organisation möglicherweise die Firewall-Konfiguration verändern, damit Smartsheet über das Internet eine Verbindung zur REST-API Ihres Jira-Servers herstellen kann.
  • Standardmäßig verwendet Jira Port 8080 oder Port 443. Da ein Jira-Administrator jedoch den von Jira verwendeten Port ändern kann, müssen Sie Ihren Jira-Administrator fragen, welchen Port Ihr Jira-Server verwendet.
  • Der Server muss HTTPS-Verbindungen unterstützen (aus Sicherheitsgründen wird HTTP statt HTTPS nicht unterstützt).
  • Das für HTTPS-Verbindungen zum Server verwendete Zertifikat muss gültig und von einer bekannten Zertifikatstelle ausgestellt worden sein.

Muss ich meine Firewall öffnen, um den Smartsheet for Jira Connector zu verwenden?

Ja – da Smartsheet for Jira über das Internet ausgeführt wird, müssen Internetverbindungen zur REST-API des Jira-Servers hergestellt werden können. Sie haben folgende Möglichkeiten, um Ihren Jira-Server für Smartsheet über das Internet zu öffnen:

Option 1: Verbindungen zu Jira erlauben

Die Jira-REST-API ist ein benutzerdefinierter Port auf dem Apache Tomcat-Host, auf dem Jira bereitgestellt wurde. Da sich die REST-API-Endpunkte auf einem von der Jira-Benutzeroberfläche und den Anmeldeseiten unabhängigen Pfad befinden, müssen Sie den Zugriff auf die Benutzeroberfläche des Jira-Servers oder auf Anmeldebildschirme über das Internet nicht erlauben.
Sie können eingehende Verbindungen zu Ihrem Jira-Server nur für die folgenden Pfade auf Ihrem Jira-Server erlauben: 

  • https:////rest/* 
  • https:////auth/*
  • https:////plugins/*

Sie können Internetverbindungen zu allen anderen Pfaden auf Ihrem Jira-Server einschränken und verbieten.

Option 2: Reverse-Proxy

Wenn Sie einen Reverse-Proxy in Ihrer Firewall verwenden, muss Jira den Proxy kennen, um sicherzustellen, dass die richtigen Adressen und URLs zurück an den Client gesendet werden. Wenn Sie eine Fehlermeldung für eine abgelehnte OAuth-Signatur während der Einrichtung der Verbindung erhalten oder wenn Sie weitere Informationen zur ordnungsgemäßen Konfiguration von Jira bei Verwendung eines Proxy-Servers erhalten möchten, lesen Sie die Atlassian-Dokumentation unter https://confluence.atlassian.com/display/APPLINKS/OAuth+troubleshooting+guide#OAuthtroubleshootingguide-OAuthsignaturerejected

Atlassian bietet die folgende empfohlene Ressource zur Sicherung von Jira, auch wenn es öffentlich im Internet sichtbar ist:

Wir kann ich feststellen, ob die Verbindung zu meinem Jira-Server von Smartsheet stammt und sicher ist?

Wir ergreifen folgende Maßnahmen, um die Sicherheit und Authentifizierung des Smartsheet for Jira Connectors und Ihres Jira-Servers sicherzustellen.

HTTPS-/TLS-Verkehr zulassen

Ihr Jira-Server muss Verbindungen über HTTPS/TLS mithilfe eines von einer bekannten Zertifikatstelle ausgestellten Zertifikats zulassen. Diese Maßnahme gewährleistet Folgendes:

  • Da Ihr Zertifikat privat und nur für Sie verfügbar ist, weiß unser System, wenn Smartsheet for Jira eine Verbindung zu Ihrem Jira-Server herstellt, dass Smartsheet eine Verbindung zu Ihrem Jira-Server herstellt und keine Umleitung durch einen Angreifer auf einen anderen Server stattgefunden hat bzw. dass kein MITM-Angriff (Man-in-the-Middle) vorliegt.
  • Durch die Verwendung von HTTPS/TLS wird der gesamte Datenverkehr zwischen Smartsheet for Jira und Ihrem Jira-Server verschlüsselt.

Authentifizierung des Jira-Anwendungslinks

Wenn der Jira-Administrator eine Verbindung zwischen dem Smartsheet for Jira Connector und dem Jira-Server herstellt, generiert Smartsheet ein öffentliches/Verbraucher-RSA-Schlüsselpaar, das nur für eine Organisationsinstanz und den Jira-Server verwendet wird, der bei Smartsheet for Jira registriert ist. 

  • Der Jira Connector-Verwalter fügt den öffentlichen Schlüssel in seinen Jira-Server ein, um den „Anwendungslink“ einzurichten. Bei jeder Anforderung/jedem Aufruf, den Smartsheet for Jira an den Jira-Server der Organisation richtet, signiert Smartsheet for Jira die Anforderung mit dem Smartsheet-Verbraucherschlüssel, welcher von Jira mithilfe des öffentlichen Schlüssels verifiziert wird, der bei der Registrierung des Anwendungslinks kopiert wird.
  • Die Verwendung von öffentlichen/Verbraucher-RSA-Schlüsseln gewährleistet, dass nur Smartsheet for Jira Verbindungen zum Jira-Server herstellen kann. Dies liegt daran, dass kein anderes System den zum öffentlichen Schlüssel passenden Verbraucherschlüssel hat, der für die Authentifizierung aller an Jira gesendeten API-Anforderungen verwendet wird. Dadurch wird sichergestellt, dass keine andere Person bzw. kein anderes System im Internet authentifizierten Zugriff auf die REST-API Ihres Jira-Servers erlangen kann.

Werden für Jira IP-Adressen verwendet, die ich auf die Einbeziehungsliste in unserer Firewall setzen kann? 

Die Maßnahmen zur Gewährleistung der Sicherheit zwischen Smartsheet und Jira sind oben dargelegt (Verbindungen zu Jira erlauben und Einzelheiten zur Sicherheit). Und wir sind der Meinung, dass es die Sicherheit nicht entscheidend verbessert, wenn Sie die IP-Adresse oder einen Bereich von IP-Adressen für eingehende Verbindungen auf die Einbeziehungsliste setzen. Smartsheet veröffentlicht einen DNS A-Datensatz unter aws.relay.smartsheet.com, den Sie auf die Einbeziehungsliste für Ihre Firewall setzen können. Der DNS A-Datensatz löst die ausgehende IP-Adresse des Jira Connectors auf.

Wir empfehlen nicht die Auflösung dieses DNS A-Datensatzes in die zugrunde liegende IP-Adresse bzw. die IP-Adressen auf die Einbeziehungsliste zu setzen, da Smartsheet bei einer Änderung der IP-Adresse, die wahrscheinlich irgendwann stattfinden wird, keine Verbindung mehr zu Ihrem Jira-Server herstellen kann. Wenn Sie den DNS A-Datensatz auf die Einbeziehungsliste setzen, erlauben Ihre Firewall-Regeln weiterhin, dass Smartsheet for Jira eine Verbindung herstellt, wenn sich die zugrunde liegenden IP-Adressen ändern.

Fehlerbehebung bei Verbindungsfehlern bei selbst gehosteten Servern

Fehler: Connection refused by Jira host. Please verify that the Jira host URL is correct and accessible. (Verbindung durch den Jira-Host verweigert. Vergewissern Sie sich, dass die URL für den Jira-Host richtig ist und darauf zugegriffen werden kann.)

Sie erhalten diese Fehlermeldung, wenn der Connector nicht auf Ihren Jira-Server zugreifen kann oder wenn der öffentliche Schlüssel und der Verbraucherschlüssel falsch eingegeben wurden. Da Smartsheet for Jira über das Internet ausgeführt wird, müssen Internetverbindungen zur REST-API des Jira-Servers hergestellt werden können. Sie müssen sicherstellen, dass Sie einen Port verwenden, der HTTPS erlaubt (z. B. 8080 oder 443), da HTTP nicht unterstützt wird.

Fehler: Unable to find a valid SSL certificate on the Jira host. Please have your Jira Administrator install a valid certificate (note that expired certificates are considered invalid). (Kein gültiges SSL-Zertifikat auf dem Jira-Host gefunden. Bitten Sie Ihren Jira-Administrator, ein gültiges Zertifikat zu installieren.)

Um den Smartsheet for Jira Connector mit einem selbst gehosteten Server zu verwenden, müssen Sie ein Zertifikat einer vertrauenswürdigen Zertifikatstelle verwenden und das Zertifikat muss gültig sein. Einige Beispiele dafür, wann eine Zertifikatstelle als ungültig angesehen wird, sind:

  • Das Zertifikat ist nicht ordnungsgemäß installiert.

  • Die zwischengeschaltete Zertifikatkette fehlt.

  • Das Zertifikat stammt von einer vertrauenswürdigen Stelle, wurde aber vielleicht von einer nicht vertrauenswürdigen Stelle signiert.

Wenn Ihr Jira-Server öffentlich verfügbar ist oder wenn Ihre Firewall vorübergehend offen ist, können Sie ein Drittanbieter-SSL-Test-Tool verwenden (z. B. SSL-/TLS-Serveranalysedienst von Qualys SSL Labs (www.ssllabs.com)), um die ordnungsgemäße Installation Ihres Zertifikats zu überprüfen. Wenn Fehlermeldungen angezeigt werden, die besagen, dass das Zertifikat unvollständig ist, müssen Sie möglicherweise den Zertifikatanbieter direkt kontaktieren, um Hilfe bei der Lösung häufig auftretender Fehler oder Informationen dazu zu erhalten, wo Sie fehlende oder unvollständige Zertifikate herunterladen können.

WICHTIG: Auch wenn Ihr Zertifikat ordnungsgemäß installiert wurde, wird es möglicherweise von Smartsheet nicht unterstützt. Wenn Sie Ihre Zertifikate überprüft haben und immer noch die Fehlermeldung oben angezeigt wird, wenden Sie sich an die Smartsheet-Hilfe.

SMARTSHEET IST NICHT VERANTWORTLICH ODER HAFTBAR FÜR DIE VERFÜGBARKEIT, GENAUIGKEIT, FUNKTIONALITÄT, EINHALTUNG VON DRITTANBIETERRICHTLINIEN ODER DIE RECHTMÄßIGKEIT VON DRITTANBIETERDIENSTEN, -WEBSITES ODER ANDEREN IN DIESEM ARTIKEL GENANNTEN RESSOURCEN UND SMARTSHEET UNTERSTÜTZT KEINE DIESER DIENSTE, WEBSITES ODER RESSOURCEN ODER DEN INHALT, PRODUKTE ODER SERVICES. SIE ÜBERNEHMEN DAS GESAMTE RISIKO, DAS SICH DURCH DIE NUTZUNG DIESER DRITTANBIETERDIENSTE, -WEBSITES ODER -RESSOURCEN ERGIBT, UND SIND ALLEINVERANTWORTLICH FÜR DIE EINHALTUNG DER GELTENDEN GESCHÄFTSBEDINGUNGEN.