Preguntas frecuentes sobre el firewall del Conector Jira (Self-Hosted Server)

En este artículo, se explican los requisitos de servidor y firewall que deberán estar implementados antes de configurar un servidor autoalojado en el Conector Smartsheet for Jira. Si no utiliza un firewall y quiere acceder a las instrucciones de configuración del Conector Jira, consulte nuestro artículo Configuración de Jira Cloud y Self-Hosted en el Centro de ayuda.

Antes de comenzar: Requisitos

Para garantizar la correcta configuración del Conector Smartsheet for Jira, su servidor Jira Self-Hosted debe cumplir con los siguientes requisitos:

  • Jira versión 7.2 o superior para servidores Jira Self-Hosted.
  • Su servidor Jira debe estar configurado para permitir que Smartsheet se conecte a él desde Internet: Se requiere del uso de una conexión segura (https).

    NOTA:Smartsheet admite un conjunto específico de certificados de CA (autoridad de certificados) estándar que se ofrece con Java.
     
  • Las autoridades de certificados vencidas o incompletas se considerarán no válidas. Consulte con su contacto principal de Smartsheet antes o durante la compra.
  • Si utiliza un firewall, consulte la sección de abajo Cómo configurar el firewall para obtener información sobre los requisitos adicionales.

Cómo configurar su firewall para que funcione con el Conector

Tal vez, deba cambiar la configuración del firewall para habilitar la comunicación entre el servidor Jira Self-Hosted y el Conector Smartsheet for Jira basado en la nube. Tenga en cuenta lo siguiente:

  • El Conector Smartsheet for Jira se ejecuta en la nube y debe poder conectarse con su servidor Jira. Si su servidor Jira se encuentra protegido con un firewall, el administrador de TI de la organización deberá modificar la configuración del firewall para permitir que Smartsheet se conecte a la API de REST del servidor Jira desde Internet.
  • De manera predeterminada, Jira usa los puertos 8080 o 443. No obstante, debido a que es posible que un administrador de Jira cambie el puerto que utiliza Jira, es necesario confirmar con su administrador de Jira qué puerto utiliza su servidor Jira.
  • El servidor debe ser compatible con conexiones https (para garantizar la seguridad, http sin https no es compatible).
  • El certificado que se utiliza para habilitar las conexiones https con el servidor debe ser válido y estar emitido por una autoridad de certificados reconocida.

¿Es necesario abrir mi firewall para usar el Conector Smartsheet for Jira?

Sí. Smartsheet for Jira se ejecuta con Internet, lo cual permite que las conexiones desde Internet lleguen a la API de REST del servidor Jira. Cuenta con las siguientes opciones para exponer su servidor Jira a Smartsheet a través de Internet:

Opción 1:Autorizar las conexiones con Jira

La API de REST de Jira es un puerto personalizado ubicado en el host Apache Tomcat en el que se implementó Jira. Debido a que los terminales de la API de REST se encuentran en una ruta aparte de la interfaz de usuario y las páginas de inicio de sesión de Jira, no es necesario que autorice el acceso a la interfaz de usuario o las pantallas de inicio de sesión del servidor de Jira desde Internet.
Puede restringir las conexiones entrantes a su servidor Jira para poder conectarse únicamente a las siguientes rutas en su servidor Jira:

  • https:////rest/* 
  • https:////auth/*
  • https:////plugins/*

Puede restringir y evitar conexiones de Internet al resto de las rutas en su servidor Jira.

Opción 2: Proxy inverso

Si utiliza un proxy inverso en su firewall, Jira debe estar informado sobre el proxy de manera tal se asegurarse de que se envíen las direcciones y URL correctas al cliente. Si aparece el error Firma OAuth rechazada mientras configura una conexión, o bien, para obtener más información sobre cómo configurar correctamente Jira cuando se utiliza un servidor proxy, consulte la documentación de Atlassian en https://confluence.atlassian.com/display/APPLINKS/OAuth+troubleshooting+guide#OAuthtroubleshootingguide-OAuthsignaturerejected.

Atlassian ofrece el siguiente recurso recomendado sobre cómo asegurar Jira, incluso cuando se encuentra expuesto públicamente en Internet:

¿Cómo puedo verificar que la conexión a mi servidor Jira pertenece a Smartsheet y es segura?

Tomamos las siguientes medidas para garantizar la seguridad y autenticación del Conector Smartsheet for Jira y de su servidor Jira.

Permitir el tráfico HTTPS/TLS

Su servidor Jira debe permitir conexiones por HTTPS/TLS mediante el uso de un certificado emitido por una autoridad de certificados creíble y reconocida. Esta medida garantiza lo siguiente:

  • Debido a que su certificado es privado y se encuentra disponibles únicamente para usted, cuando Smartsheet for Jira se conecta a su servidor Jira, nuestro sistema sabe que Smartsheet se está conectando a su servidor Jira y que no ha sido redireccionado por un atacante a otro servidor y que no existe ningún tipo de ataque «hombre de por medio» (MITM) en curso.
  • Al usar HTTPS/TLS, todo el tráfico existente entre Smartsheet for Jira y su servidor Jira se encuentra cifrado.

Autenticación del enlace de aplicación de Jira

Cuando el administrador de Jira configura su conexión entre el Conector Smartsheet for Jira y su servidor Jira, Smartsheet genera un par de claves pública/consumidor de RSA únicas para cada una de las instancias de la organización y para el servidor Jira que se encuentra registrado con Smartsheet for Jira.

  • El administrador de Conector Jira pegará la clave pública en su servidor Jira para configurar el «enlace de aplicación». En cada solicitud o llamada que realiza Smartsheet for Jira al servidor Jira de la organización, Smartsheet for Jira firma la solicitud con la clave de consumidor de Smartsheet, que, posteriormente, Jira verifica mediante el uso de la clave pública copiada al registrar el enlace de aplicación.
  • El uso de claves pública/consumidor de RSA garantiza que únicamente Smartsheet for Jira establezca conexiones con el servidor Jira. Esto se debe a que ningún otro sistema cuenta con la clave de consumidor correspondiente a la clave pública, que se utiliza para autenticar cada una de las solicitudes de API que se envían a Jira. De esta manera, se garantiza que ninguna otra persona o sistema en Internet puedan tener acceso autenticado a la API de REST de su servidor Jira.

¿Existen direcciones IP que se utilicen con Jira que pueda incluir en la lista autorizada en nuestro firewall?

Abajo se describen las medidas adoptadas para garantizar la seguridad entre las aplicaciones Smartsheet y Jira (Cómo autorizar conexiones con Jira y detalles sobre seguridad). Consideramos que el hecho de incluir la dirección IP -o un conjunto de direcciones IP- en una lista autorizada de conexiones entrantes no representan una mejora significativa en cuanto a la seguridad. Smartsheet publica un registro DNS A en aws.relay.smartsheet.com, que puede incluirse en la lista autorizada en su firewall. El registro DNS A se convierte en la dirección IP saliente del Conector Jira.

Recomendamos que convierta este registro DNS A a la dirección IP subyacente y que incluya las direcciones IP en la lista autorizada, ya que, si lo modificamos -algo que puede suceder-, Smartsheet ya no podrá conectarse a su servidor Jira. Al incluir un registro DNS A en la lista autorizada, las reglas de su firewall continuarán permitiendo que Smartsheet for Jira se conecte cuando se modifiquen las direcciones IP subyacentes.

Cómo solucionar los mensajes de error en la conexión autoalojada

Error: El host de Jira rechazó la conexión. Verifique que la URL del host de Jira sea correcta y que pueda accederse a ella.

Recibirá este mensaje de error en caso de que el Conector no pueda acceder a su servidor Jira, o bien, cuando la clave pública y de consumidor no se introducen correctamente. Debido a que Smartsheet for Jira se ejecuta con Internet, debe ser posible que las conexiones desde Internet lleguen a la API de REST del servidor Jira. Deberá asegurarse de usar un puerto que sea compatible con HTTPS (por ejemplo, 8080 o 443). No se admite HTTP.

Error: No es posible ubicar un certificado SSL válido el host de Jira. Solicite a su administrador de Jira que instale un certificado válido (tenga en cuenta que los certificados vencidos se consideran no válidos).

Para poder usar el Conector Smartsheet for Jira con un Self-Hosted Server, deberá usar un certificado procedente de una autoridad de certificados confiable. Así mismo, el certificado debe ser válido. Algunos ejemplos de instancias en que una autoridad de certificados se considera no válida son:

  • El certificado no se instaló correctamente.

  • Falta la cadena intermedia de certificados.

  • El certificado proviene de una autoridad confiable, pero puede estar firmado por una autoridad no confiable.

Si su servidor Jira está disponible a nivel público, o bien, si su firewall se encuentra temporalmente abierto, puede usar una herramienta de prueba de SSL de terceros (por ejemplo, servicio de evaluación del servidor SSL/TLS proporcionado por Qualys SSL Labs (www.ssllabs.com)) para verificar si su certificado se ha instalado correctamente. Si recibe un error que indica que el certificado está incompleto, deberá ponerse en contacto con el proveedor de certificados directamente para obtener ayuda respecto de cómo solucionar errores frecuentes o información sobre los sitios para descargar certificados incompletos o faltantes.

IMPORTANTE: Si bien es posible que su certificado se haya instalado correctamente, podría seguir siendo un certificado no compatible con Smartsheet. Si continúa recibiendo el mensaje de error que se menciona arriba luego de haber verificado sus certificados, póngase en contacto con Soporte técnico de Smartsheet.

SMARTSHEET NO ASUME NINGÚN TIPO DE RESPONSABILIDAD EN CUANTO A LA DISPONIBILIDAD, EXACTITUD, FUNCIONALIDAD, CUMPLIMIENTO CON LAS POLÍTICAS DE TERCEROS O LEGALIDAD DE NINGÚN SERVICIO, SITIO WEB U OTRO RECURSO DE TERCEROS A LOS QUE SE HACE REFERENCIA EN ESTE ARTÍCULO. ASÍ MISMO, SMARTSHEET NO OFRECE NINGÚN TIPO DE RESPALDO A DICHOS SERVICIOS, SITIOS WEB O RECURSOS, NI A LOS CONTENIDOS, PRODUCTOS O SERVICIOS DISPONIBLES DERIVADOS DE ELLOS. USTED DEBERÁ ASUMIR LA TOTALIDAD DE LOS RIESGOS QUE SURJAN DEL USO DE DICHOS SERVICIOS, SITIOS WEB O RECURSOS DE TERCEROS, Y ES RESPONSABLE EXCLUSIVO DEL CUMPLIMIENTO CON LOS TÉRMINOS DE USO APLICABLES.