Jira コネクタ ファイアウォールに関する FAQ (セルフホスト型サーバー)

この記事では、Smartsheet for Jira コネクタでセルフホスト型サーバーを構成する前に準備する必要のあるサーバーファイアウォールの要件について説明します。 ファイアウォールを使用しておらず、Jira コネクタのセットアップ手順を確認したい場合は、ヘルプ センターの記事「Jira Cloud とセルフホストセット型のセットアップ」をご覧ください。

はじめる前に: 要件

Smartsheet for Jira コネクタを正しくセットアップするには、セルフホスト型 Jira サーバーが次の要件を満たしている必要があります。

  • セルフホスト型 Jira サーバー用 Jira バージョン 7.2 以降。
  • Jira サーバーは、Smartsheet がインターネットから接続できるように構成する必要があります。 安全な (https) 接続が必要です。

    注: Smartsheet は、Java に付属する特定の標準 CA (認証局) 証明書のセットをサポートします。
     
  • 期限切れまたは不完全な認証局は、無効とみなされます。 ご購入の前またはご購入後に、Smartsheet の担当者までお問い合わせください。
  • ファイアウォールを使用している場合、追加の要件については、以下のファイアウォールの構成も確認してください。

コネクタで動作するようにファイアウォールを構成する

セルフホスト型 Jira サーバーとクラウド ベースの Smartsheet for Jira コネクタ間の通信を有効にするには、ファイアウォール設定を変更する必要がある場合があります。 次のことに留意してください。

  • Smartsheet for Jira コネクタはクラウドで実行され、Jira サーバーに接続できる必要があります。 Jira サーバーがファイアウォールで保護されている場合、組織の IT 管理者はファイアウォール構成を変更して、Smartsheet がインターネットから Jira サーバーの REST API に接続できるようにする必要があります。
  • デフォルトでは、Jira はポート 8080 またはポート 443 を使用します。 ただし、Jira 管理者は Jira が使用するポートを変更できるため、Jira サーバーが使用するポートを Jira 管理者に確認する必要があります。
  • サーバーは https 接続をサポートしている必要があります (セキュリティを確保するため、https なしの http はサポートされていません)。
  • サーバーへの https 接続を有効にするために使用される証明書が有効で、よく知られた認証局によって発行されている必要があります。

Smartsheet for Jira コネクタを使用するには、ファイアウォールを開く必要がありますか?

はい。Smartsheet for Jira はインターネット上で実行されるため、インターネットから Jira サーバーの REST API に接続できる必要があります。 インターネット経由で Jira サーバーを Smartsheet に公開するには、次のオプションがあります。

オプション 1:  Jira への接続を許可する

Jira REST API は、Jira がデプロイされた Apache Tomcat ホスト上のカスタム ポートです。 REST API エンドポイントは Jira ユーザー インターフェイスおよびログイン ページとは別のパスにあるため、インターネットから Jira サーバーの UI またはログイン画面へのアクセスを許可する必要はありません。
Jira サーバーへの着信接続を制限して、Jira サーバー上の次のパスにのみ接続できるようにすることができます。

  • https:////rest/* 
  • https:////auth/*
  • https:////plugins/*

Jiraサーバー上の他のすべてのパスへのインターネット接続を制限および禁止できます。

オプション 2: リバース プロキシ

ファイアウォールでリバース プロキシを使用している場合、Jira はプロキシを認識して、正しいアドレスと URL がクライアントに返されるようにする必要があります。 接続のセットアップ中に OAuth Signature Rejected エラーを受け取った場合、またはプロキシ サーバーが使用されている場合に Jira を正しく構成する方法の詳細については、次のサイトで Atlassian のドキュメントを参照してください: https://confluence.atlassian.com/display/APPLINKS/OAuth+troubleshooting+guide#OAuthtroubleshootingguide-OAuthsignaturerejected

Atlassian は、Jira がインターネットに公開されている場合でも、これを保護する方法について以下の資料を推奨しています。

Jira サーバーへの接続が Smartsheet からのものであり、安全であることを確認するにはどうすればいいですか?

Jira コネクタおよび Jira サーバーの Smartsheet のセキュリティと認証を確保するために、以下の対策を講じています。

HTTPS/TLS トラフィックを許可する

Jira サーバーは、有名な信頼できる認証局から発行された証明書を使用して HTTPS/TLS 経由の接続を許可する必要があります。 この措置により、次のことが保証されます。

  • 証明書は非公開であり、利用できるのは本人のみであるため、Smartsheet for Jira が Jira サーバーに接続すると、当社のシステムは Smartsheet が Jira サーバーに接続しており、攻撃者によって別のサーバーにリダイレクトされておらず、中間者攻撃 (MITM) 攻撃は行われていないことを確認できます。
  • HTTPS/TLS を使用することにより、Smartsheet for Jira と Jira サーバー間のすべてのトラフィックが暗号化されます。

Jira アプリケーションリンクの認証

Jira 管理者が Smartsheet for Jira コネクタと Jira サーバー間の接続を設定すると、Smartsheet は各組織インスタンスと Jira for Smartsheet に登録された Jira サーバーに固有の RSA パブリック キー/コンシューマー キーのペアを生成します。

  • Jira コネクタ管理者はパブリック キーを Jira サーバーに貼り付けて「アプリケーション リンク」をセットアップします。 Smartsheet for Jira が組織の Jira サーバーに対して行うすべてのリクエスト/呼び出しで、Smartsheet for Jira は Smartsheet のコンシューマー キーでリクエストに署名し、Jira はアプリケーション リンクの登録時にコピーされたパブリック キーを使用して検証します。
  • RSA パブリック/コンシューマー キーを使用すると、Smartsheet for Jira のみが Jira サーバーに接続できるようになります。 これは、他のシステムには、Jira に送信されるすべての API リクエストを認証するためのパブリック キーに対応するコンシューマー キーがないためです。 これにより、インターネット上の他の人やシステムは、Jira サーバーの REST API への認証されたアクセス権を持つことができなくなります。

Jira で使用されているファイアウォールで include list (許可リスト) に追加できる IP アドレスはありますか?

Smartsheet アプリケーションと Jira アプリケーション間のセキュリティを確保するために講じた対策の概要は上記 (Jira への接続を許可する方法とセキュリティに関する詳細) の通りです。また私たちは、着信接続の IP アドレスまたは IP アドレスのレンジを include list (許可リスト) に追加しても、セキュリティが大幅に改善されることはないと考えています。 Smartsheet は aws.relay.smartsheet.com で、ファイアウォールで include list (許可リスト) に追加できる DNS A レコードを公開しています。 DNS A レコードは、Jira コネクタの発信 IP アドレスを解決します。

この DNS A レコードを基になる IP アドレスに対して解決し、IP アドレスを include list (許可リスト) に追加することはお勧めしません。これを変更すると、Smartsheet は Jira サーバーに接続できなくなります。 DNS A レコードを include list (許可リスト) に追加することにより、ファイアウォール ルールは、基になる IP アドレスが変更されても引き続き Smartsheet for Jira の接続を許可します。

セルフホスト型接続エラー メッセージのトラブルシューティング

エラー: Jira ホストによって接続が拒否されました。 Jira ホストの URL が正しく、アクセス可能であることを確認してください。

コネクタが Jira サーバーにアクセスできない場合、またはパブリック キーとコンシューマー キーが正しく入力されていない場合、このエラー メッセージが表示されます。 Smartsheet for Jira はインターネット上で実行されるため、インターネットから Jira サーバーの REST API に接続できる必要があります。 HTTP はサポートされていないため、HTTPS を許可するポート (8080 または 443 など) を使用していることを確認する必要があります。

エラー: Jira ホストで有効な SSL 証明書が見つかりません。 Jira 管理者に有効な証明書をインストールしてもらってください (期限切れの証明書は無効と見なされます)。

セルフホスト型サーバーで Smartsheet for Jira コネクタを使用するには、信頼できる認証局からの証明書を使用する必要があり、証明書は有効でなければなりません。 認証局が無効と見なされる場合の例を次に示します。

  • 証明書が正しくインストールされていない。

  • 中間証明書チェーンがない。

  • 証明書は信頼できる機関からのものであるが、信頼できない機関によって署名されている可能性がある。

Jira サーバーが公開されている場合、またはファイアウォールが一時的に開いている場合、サードパーティの SSL テスト ツール (例: Qualys SSL Labs (www.ssllabs.com) が提供する SSL/TLS サーバー評価サービス) を使用して、証明書が正しくインストールされているかどうかを確認できます。 証明書が不完全であることを示すエラーが発生した場合、一般的なエラーの解決について、または不足しているまたは不完全な証明書をダウンロードする場所に関する情報について、証明書提供者に直接連絡する必要があります。

重要: 証明書が正しくインストールされていても、Smartsheet でサポートされている証明書ではない可能性があります。 証明書を確認しても上記のエラーが引き続き表示される場合は、Smartsheet サポートにお問い合わせください。

Smartsheet は、サードパーティ ポリシーの可用性、精度、機能、遵守、または本記事で参照しているサードパーティのサービス、Web サイトまたはその他のリソースの適法性に対する責任を負いません。またSmartsheetは、そのようなサービス、Web サイト、リソース、またはそこから利用可能なコンテンツ、製品、サービスを推奨するものではありません。 お客様は、かかるサードパーティーのサービス、Web サイト、またはリソースの使用に起因するすべてのリスクを負うものとし、適用される使用条件の遵守については、お客様が単独で責任を負うものとします。