Questions fréquentes sur le pare-feu du connecteur Jira (serveur auto-hébergé)

Cet article liste les exigences en matière de serveur et de pare-feu à mettre être en place avant de configurer un serveur auto-hébergé sur le Connecteur Smartsheet pour Jira. Si vous n’utilisez pas de pare-feu et que vous cherchez les instructions de configuration du Connecteur Jira, veuillez consulter notre article Configuration de Jira Cloud et d’un serveur auto-hébergé dans le Centre d’assistance. 

Avant de commencer : exigences

Pour assurer la bonne configuration du Connecteur Smartsheet pour Jira, votre serveur Jira auto-hébergé doit répondre aux exigences suivantes :

  • Jira version 7.2 (ou plus récente) pour les serveurs Jira auto-hébergés.
  • Votre serveur Jira doit être configuré pour permettre à Smartsheet de s’y connecter depuis Internet : une connexion sécurisée (https) est requise.

    REMARQUE :Smartsheet prend en charge un ensemble spécifique de certificats CA (autorité de certification) standard fournis avec Java.
     
  • Les certificats expirés ou incomplets seront considérés comme non valables. Renseignez-vous auprès de votre contact Smartsheet principal avant ou pendant l’achat.
  • Si vous utilisez un pare-feu, consultez également la section Configuration du pare-feu ci-dessous pour connaître les exigences supplémentaires.

Configurer votre pare-feu pour qu’il fonctionne avec le Connecteur

Vous devrez peut-être modifier les paramètres du pare-feu pour permettre la communication entre votre serveur Jira auto-hébergé et le Connecteur Smartsheet pour Jira basé sur le cloud. Gardez à l’esprit ce qui suit :

  • Le Connecteur Smartsheet pour Jira fonctionne dans le cloud et doit pouvoir se connecter à votre serveur Jira. Si votre serveur Jira est protégé par un pare-feu, l’administrateur informatique de votre organisation pourrait avoir à modifier la configuration du pare-feu pour permettre à Smartsheet de se connecter à l’API REST de votre serveur Jira depuis Internet.
  • Par défaut, Jira utilise le port 8080 ou le port 443. Cependant, puisqu’un administrateur Jira peut modifier le port utilisé par Jira, il est nécessaire de confirmer avec lui quel port votre serveur Jira utilise.
  • Le serveur doit prendre en charge les connexions https (pour assurer la sécurité, le protocole http n’est pas pris en charge).
  • Le certificat utilisé pour permettre les connexions https au serveur doit être valide et délivré par une autorité de certification reconnue.

Est-il nécessaire d’ouvrir mon pare-feu pour utiliser le Connecteur Smartsheet pour Jira ?

Oui. Puisque Smartsheet pour Jira s’exécute sur Internet, l’API REST du serveur Jira doit être accessible. Vous disposez des options suivantes pour ouvrir votre serveur Jira à Smartsheet sur Internet :

Option 1 :autoriser les connexions à Jira

L’API REST de Jira est un port personnalisé sur l’hôte Apache Tomcat sur lequel Jira a été déployé. Comme les points d’extrémité de l’API REST se trouvent sur un chemin distinct de l’interface utilisateur et des pages de connexion Jira, il est inutile d’autoriser l’accès à l’interface utilisateur ou aux écrans de connexion du serveur Jira depuis Internet.
Vous pouvez limiter les connexions entrantes à votre serveur Jira pour ne pouvoir vous connecter qu’aux chemins d’accès suivants de votre serveur Jira :

  • https:////rest/* 
  • https:////auth/*
  • https:////plugins/*

Vous pouvez restreindre et empêcher les connexions Internet à tous les autres chemins d’accès de votre serveur Jira.

Option 2 : Proxy inverse

Si vous utilisez un proxy inverse dans votre pare-feu, Jira doit le connaître pour s’assurer que les adresses et URL appropriées sont renvoyées au client. Si vous recevez une erreur Signature OAuth rejetée lors de la configuration d’une connexion, ou pour plus d’informations sur la configuration de Jira appropriée en cas d’utilisation d’un serveur proxy, consultez la documentation Atlassian à l’adresse https://confluence.atlassian.com/display/APPLINKS/OAuth+troubleshooting+guide#OAuthtroubleshootingguide-OAuthsignaturerejected

Atlassian fournit la ressource suivante, recommandée pour sécuriser Jira, même si elle est exposée publiquement sur Internet :

Comment puis-je vérifier que la connexion à mon serveur Jira s’effectue depuis Smartsheet et qu’elle est sécurisée ?

Nous prenons les mesures suivantes pour assurer la sécurité et l’authentification du Connecteur Smartsheet pour Jira et de votre serveur Jira.

Autoriser le trafic HTTPS/TLS

Votre serveur Jira doit autoriser les connexions via HTTPS/TLS en utilisant un certificat délivré par une autorité de certification de confiance et reconnue. Cette mesure garantit ce qui suit :

  • Puisque votre certificat est privé et uniquement disponible pour vous, lorsque Smartsheet pour Jira se connecte à votre serveur Jira, notre système sait que Smartsheet se connecte à votre serveur, sans avoir été redirigé malicieusement vers un autre serveur, et sans attaque de l’« homme du milieu » (MITM).
  • En utilisant HTTPS/TLS, l’ensemble du trafic entre Smartsheet pour Jira et votre serveur Jira est crypté.

Authentification des liens d’application Jira

Lorsque l’administrateur Jira configure la connexion entre le Connecteur Smartsheet pour Jira et le serveur Jira, Smartsheet génère une paire de clés RSA publique/consommateur propre à chaque instance de l’organisation et au serveur Jira enregistré avec Smartsheet pour Jira.

  • L’administrateur du Connecteur Jira colle la clé publique dans son serveur Jira pour configurer le « Lien d’application ». Pour chaque requête/appel de Smartsheet pour Jira au serveur Jira de l’organisation, Smartsheet pour Jira signe la requête avec la clé consommateur Smartsheet, que Jira vérifie en utilisant la clé publique copiée lors de l’enregistrement du Lien d’application.
  • L’utilisation de clés RSA publique/consommateur garantit que seul Smartsheet pour Jira établit des connexions avec le serveur Jira. En effet, aucun autre système ne dispose de la clé consommateur correspondant à la clé publique qui est utilisée pour authentifier chaque requête API envoyée à Jira. Cela garantit qu’aucun autre utilisateur ou système sur Internet ne pourra obtenir d’accès authentifié à l’API REST de votre serveur Jira.

Existe-t-il des adresses IP utilisées avec Jira que je peux ajouter à liste d’inclusion de notre pare-feu ?

Les mesures prises pour assurer la sécurité entre les applications Smartsheet et Jira sont décrites ci-dessus (Comment autoriser les connexions à Jira et Informations de sécurité). Nous pensons qu’ajouter l’adresse IP (ou d’une plage d’adresses IP) des connexions entrantes à liste d’inclusion n’offre aucune amélioration significative en matière de sécurité. Smartsheet publie un enregistrement DNS A sur aws.relay.smartsheet.com qui peut être ajouté à liste d’inclusion de votre pare-feu. L’enregistrement DNS A est dirigé vers l’adresse IP sortante du Connecteur Jira.

Nous ne vous recommandons pas de diriger cet enregistrement DNS A vers l’adresse IP sous-jacente, ni d’ajouter les adresses IP à liste d’inclusion. En cas de modification de notre part (ce qui est possible), Smartsheet ne pourra plus se connecter à votre serveur Jira. Si vous ajoutez l’enregistrement DNS A à votre liste d’inclusion, les règles de votre pare-feu permettent à Smartsheet pour Jira de se connecter lorsque les adresses IP sous-jacentes changent.

Dépannage des messages d’erreur de connexion auto-hébergée

Erreur : connexion refusée par l’hôte Jira. Veuillez vérifier que l’URL de l’hôte Jira est correcte et accessible.

Vous recevez ce message d’erreur si le Connecteur ne peut pas accéder à votre serveur Jira, ou si la clé publique et la clé consommateur ont été mal saisies. Puisque Smartsheet pour Jira s’exécute sur Internet, l’API REST du serveur Jira doit être accessible. Vous devez vous assurer que vous utilisez un port qui autorise le protocole HTTPS (p. ex. : 8080 ou 443), car le protocole HTTP n’est pas pris en charge.

Erreur : Impossible de trouver un certificat SSL valide sur l’hôte Jira. Veuillez demander à votre administrateur Jira d’installer un certificat valide (notez que les certificats expirés sont considérés comme non valides).

Pour pouvoir utiliser le Connecteur Smartsheet pour Jira avec un serveur auto-hébergé, vous devez utiliser un certificat émis par une autorité de certification de confiance. Ce certificat doit être valide. Quelques exemples de cas où l’autorité de certification est considérée comme non valide :

  • Le certificat n’est pas installé correctement.

  • La chaîne des certificats intermédiaires est manquante.

  • Le certificat provient d’une autorité de confiance, mais est signé par une autorité non fiable.

Si votre serveur Jira est accessible publiquement, ou si votre pare-feu est temporairement ouvert, vous pouvez utiliser un outil de test SSL tiers (comme le service d’évaluation de serveur SSL/TLS fourni par Qualys SSL Labs (www.ssllabs.com)) pour vérifier si votre certificat a été correctement installé. Si vous remarquez des erreurs indiquant que le certificat est incomplet, vous pouvez communiquer directement avec son fournisseur pour obtenir de l’aide et résoudre les erreurs courantes, ou pour savoir où télécharger les certificats manquants ou incomplets.

IMPORTANT : même installé correctement, votre certificat peut ne pas être pris en charge par Smartsheet. Si vous recevez toujours l’erreur ci-dessus après avoir vérifié vos certificats, veuillez contacter l’assistance Smartsheet.

SMARTSHEET N’EST PAS RESPONSABLE DE LA DISPONIBILITÉ, DE L’EXACTITUDE, DE LA FONCTIONNALITÉ, DU RESPECT DES POLITIQUES DE TIERS OU DE LA LÉGALITÉ DES SERVICES, SITES WEB OU AUTRES RESSOURCES DE TIERS MENTIONNÉS DANS LE PRÉSENT ARTICLE. SMARTSHEET N’AVALISE AUCUN DE CES SERVICES, SITES WEB OU RESSOURCES, NI LE CONTENU, LES PRODUITS OU LES SERVICES QUI EN DÉCOULENT. VOUS ASSUMEZ TOUS LES RISQUES DÉCOULANT DE VOTRE UTILISATION DE CES SERVICES, SITES WEB OU RESSOURCES DE TIERS, ET VOUS ÊTES SEUL RESPONSABLE DU RESPECT DES CONDITIONS GÉNÉRALES APPLICABLES.