Domande frequenti sul Firewall di Connector Jira (server con self-hosting)

Questo articolo fornisce i requisiti relativi a server e firewall che dovranno essere attivati, prima di configurare un server con self-hosting sul Connector Smartsheet per Jira. Se non utilizzi un firewall e sei alla ricerca di istruzioni di configurazione Connector Jira, consulta il nostro articolo Jira Cloud e configurazione con self-hosting del Centro assistenza.

Prima di iniziare: Requisiti

Per assicurare la riuscita della configurazione del Connector Smartsheet per Jira, il server Jira con self-hosting deve soddisfare i seguenti requisiti:

• Jira versione 7.2 o superiore per i server Jira con self-hosting.
• Il server Jira deve essere configurato per consentire a Smartsheet di collegarsi tramite Internet: È necessaria una connessione protetta (https).
  
  NOTA: Smartsheet supporta un insieme specifico di certificati CA (autorità di certificazione) standard disponibili con Java.
   
• Le autorità di certificazione scadute o incomplete saranno considerate non valide. Informati con il contatto principale Smartsheet prima o durante l'acquisto.
• Se utilizzi un firewall, consulta inoltre Configurazione del firewall di seguito per ulteriori requisiti.

Configurazione del firewall per il funzionamento con il Connector

Potrebbe essere necessario modificare le impostazioni del firewall per abilitare la comunicazione tra il server Jira con self-hosting e il Connector Smartsheet per Jira basato su cloud. Tieni presente quanto segue:

• Il Connector Smartsheet per Jira viene eseguito nel cloud e deve essere in grado di connettersi al server Jira. Se il server Jira è protetto da un firewall, l'Amministratore IT dell'organizzazione potrebbe dover modificare la configurazione del firewall per consentire a Smartsheet la connessione all'API REST del server Jira da Internet.
• Per impostazione predefinita, Jira utilizza la porta 8080 ola porta 443. Tuttavia, poiché è possibile che un amministratore di Jira modifichi gli utilizzi di Jira della porta, è necessario confermare con l'amministratore Jira la porta utilizzata dal server Jira.
• Il server deve supportare le connessioni https (per garantire la sicurezza, http senza https non è supportato).
• Il certificato utilizzato per abilitare connessioni https al server deve essere valido e deve essere rilasciato da un'autorità di certificazione nota.

È necessario aprire il firewall per utilizzare il Connector Smartsheet per Jira?

Sì, poiché Smartsheet per Jira viene eseguito su Internet, le connessioni da Internet devono poter raggiungere l'API REST del server Jira. Per esporre il server Jira a Smartsheet su internet sono disponibili le seguenti opzioni:

Opzione 1:Consenti connessioni a Jira

L'API REST Jira è una porta personalizzata sull'host Apache Tomcat su cui Jira è stato distribuito. Poiché gli endpoint API REST sono su un percorso separato rispetto all'interfaccia utente Jira e alle pagine di accesso, non è necessario consentire l'accesso alle schermate UI o di accesso del server Jira da Internet.
Puoi limitare le connessioni in entrata al server Jira alla sola connessione ai seguenti percorsi sul server Jira:

• https:////rest/* 
• https:////auth/*
• https:////plugins/*

Puoi limitare e prevenire le connessioni Internet a tutti gli altri percorsi sul server Jira.

Opzione 2: Proxy inverso

Se utilizzi un proxy inverso nel firewall, Jira deve essere a conoscenza del proxy per assicurare che gli indirizzi e gli URL corretti siano inviati al client. Se ricevi un errore di firma OAuth rifiutata durante la configurazione di una connessione, o per ulteriori informazioni su come configurare correttamente Jira quando utilizzi un server proxy, consulta la documentazione Atlassian all'indirizzo https://confluence.atlassian.com/display/APPLINKS/OAuth+troubleshooting+guide#OAuthtroubleshootingguide-OAuthsignaturerejected

Atlassian fornisce la seguente risorsa consigliata come proteggere Jira, anche quando è pubblicamente esposta a Internet:

• Configurazione della sicurezza nell'ambiente esterno
• Protezione delle applicazioni Jira con Apache HTTP Server
• Applicazione del proxy ad applicazioni server Atlassian con Apache HTTP Server (mod_proxy_http)
• Guida alla risoluzione dei problemi OAuth Firma OAuth rifiutata
• Applicazione del proxy ad applicazioni server Atlassian con Microsoft Internet Information Services (IIS)

Come posso verificare che la connessione al mio server Jira provenga da Smartsheet e sia sicura?

Intraprendiamo le seguenti misure per assicurare la sicurezza e l'autenticazione del Connector Smartsheet per Jira e del server Jira.

Consentire il traffico HTTPS/TLS

Il server Jira deve consentire le connessioni su HTTPS/TLS utilizzando un certificato rilasciato da un'autorità di certificazione attendibile ben nota. Questa misura assicura quanto segue:

• Poiché il certificato è privato e disponibile solo a te, quando Smartsheet per Jira si connette al tuo server Jira, il nostro sistema sa che Smartsheet si connette al server Jira e non è stato reindirizzato da un attaccante a un altro server e che non è in atto alcun attacco MITM (man-in-the-middle).
• Utilizzando HTTPS/TLS, tutto il traffico tra Smartsheet per Jira e il server Jira è crittografato.

Autenticazione Application Link Jira

Quando l'amministratore Jira imposta la connessione tra Connector Smartsheet per Jira e il server Jira, Smartsheet genera una coppia di chiavi RSA Pubblica/Consumer unica per ciascuna istanza dell'organizzazione e il server Jira che è registrato con Smartsheet per Jira.

• L'amministratore connector Jira incolla la chiave pubblica nel server Jira per impostare "Application Link". In ogni richiesta/chiamata che Smartsheet per Jira effettua al server Jira dell'organizzazione, Smartsheet per Jira firma la richiesta con la chiave Consumer di Smartsheet, che Jira verifica utilizzando la chiave pubblica copiata durante la registrazione di Application Link.
• L'utilizzo di chiavi RSA pubblica/consumer assicura che solo Smartsheet per Jira si connetta al server Jira. Questo perché nessun altro sistema ha la chiave Consumer corrispondente alla chiave pubblica, che viene utilizzata per autenticare ogni richiesta API inviata a Jira. Questo assicura che nessun'altra persona o sistema su Internet siano in grado di ottenere l'accesso autenticato alle API REST del server Jira.

Esistono indirizzi IP utilizzati con Jira che posso aggiungere all’elenco di inclusione nel nostro firewall?

Le misure adottate per garantire la sicurezza tra le applicazioni Smartsheet e Jira sono descritte in precedenza (Come consentire le connessioni a Jira e dettagli di sicurezza) e crediamo che l’aggiunta dell’indirizzo IP, o un intervallo di indirizzi IP, all’elenco di inclusione delle connessioni in entrata non offra alcun significativo miglioramento della sicurezza. Smartsheet pubblica un record DNS A su aws.relay.smartsheet.com che può essere aggiunto all’elenco di inclusione nel firewall. Il record DNS A risolverà l'Indirizzo IP in uscita del Connector Jira.

Non consigliamo di risolvere questo record DNS A all'indirizzo IP sottostante e di aggiungere gli indirizzi IP all’elenco di inclusione, perché in caso di variazione, che è possibile che si verifichi, Smartsheet non sarà più in grado di connettersi al server Jira. Aggiungendo il record DNS A all’elenco di inclusione, le regole del firewall continueranno a permettere a Smartsheet per Jira di connettersi quando gli indirizzi IP sottostanti cambiano.

Risoluzione dei problemi dei messaggi di errore della connessione con self-hosting

Errore: Connessione rifiutata da host Jira. Verifica che l'URL dell'host Jira sia corretto e accessibile.

Riceverai questo messaggio di errore se il Connector non è in grado di accedere al server Jira, o la chiave pubblica e chiave Consumer non sono state digitate correttamente. Poiché Smartsheet per Jira è su Internet, le connessioni da Internet devono poter raggiungere l'API REST del server Jira. Sarà necessario assicurarsi che si sta utilizzando una porta che consente HTTPS (ad esempio. 8080 o 443), poiché HTTP non è supportato.

Errore: Impossibile trovare un certificato SSL valido sull'host Jira. Fai installare all'amministratore Jira un certificato valido (nota che i certificati scaduti sono considerati non validi).

Per poter utilizzare il Connector Smartsheet per Jira con un server con self-hosting, sarà necessario utilizzare un certificato da un'autorità di certificazione attendibile e il certificato deve essere valido. Ecco alcuni esempi di quando un'autorità di certificazione è considerata non valida:

• Il certificato non è installato correttamente.

• La catena del certificato intermedio manca.

• Il certificato proviene da un'autorità affidabile, tuttavia può essere stato firmato da un'autorità non affidabile.

Se il server Jira è disponibile pubblicamente o il firewall è temporaneamente aperto, puoi utilizzare uno strumento di test SSL di terze parti (ad esempio, il servizio di valutazione del server SSL/TLS fornito da Qualys SSL Labs (www.ssllabs.com)) per verificare se il certificato è stato installato correttamente. Se si nota la presenza di errori che specificano che il certificato è incompleto, potresti dover contattare il fornitore del certificato direttamente per assistenza nella risoluzione degli errori più comuni o per informazioni su dove scaricare i certificati mancanti o incompleti.

IMPORTANTE: Anche se il certificato può essere installato correttamente, può comunque essere un certificato non supportato da Smartsheet. Se continui a ricevere l'errore precedente, dopo aver controllato i certificati, rivolgiti all'assistenza Smartsheet.

SMARTSHEET NON È RESPONSABILE DELLA DISPONIBILITÀ, PRECISIONE, FUNZIONALITÀ, ADESIONE A POLITICHE DI TERZI, O LEGALITÀ DEI SERVIZI DI TERZI, DI SITI WEB O ALTRE RISORSE A CUI SI FA RIFERIMENTO IN QUESTO ARTICOLO, E SMARTSHEET NON SOSTIENE TALI SERVIZI, SITI WEB O RISORSE, NÉ CONTENUTI, PRODOTTI O SERVIZI DA ESSO DISPONIBILI. L'UTENTE SI ASSUME TUTTI I RISCHI DERIVANTI DALL'USO DI TALI SERVIZI DI TERZI, SITI WEB O RISORSE ED È L'UNICO RESPONSABILE DELLA CONFORMITÀ A EVENTUALI TERMINI DI UTILIZZO APPLICABILI.