Aplica-se a
- Business
- Enterprise
Perguntas frequentes sobre o firewall do Conector Jira (servidor auto-hospedado)
Este artigo fornece os requisitos de servidor e firewall que precisarão estar em vigor antes da configuração de um servidor auto-hospedado no Conector Smartsheet para Jira. Se você não estiver usando um firewall e estiver em busca das instruções de configuração do Conector Jira, consulte o nosso artigo Configuração do Servidor Jira Cloud e Auto-Hospedado na Central de Ajuda.
Antes de começar: Requisitos
Para garantir uma configuração bem-sucedida do Conector Smartsheet para Jira, o servidor Jira auto-hospedado deverá atender aos seguintes requisitos:
- Jira versão 7.2 (ou posterior) para servidores Jira auto-hospedados.
- Seu servidor Jira deve estar configurado para permitir que o Smartsheet se conecte a ele pela internet: É necessária uma conexão segura (https).
NOTA: O Smartsheet oferece suporte a um conjunto específico de certificados de CA (autoridade de certificação) padrão que acompanham o Java.
- As autoridades de certificação expiradas ou incompletas serão consideradas inválidas. Informe-se com o contato principal do Smartsheet antes ou durante a compra.
- Se você estiver usando um firewall, revise também Configuração do Firewall, abaixo, para obter requisitos adicionais.
Configure seu firewall para operar com o Conector
Pode ser necessário alterar as configurações do firewall para permitir a comunicação entre o servidor Jira auto-hospedado e o Conector Smartsheet para Jira baseado em nuvem. Lembre-se sempre do seguinte:
- O Conector Smartsheet para Jira é executado na nuvem e precisa ser capaz de se conectar ao seu servidor Jira. Se o servidor Jira estiver protegido por um firewall, o Administrador de TI da sua organização poderá precisar modificar a configuração do firewall para permitir que o Smartsheet se conecte à API REST do servidor Jira pela internet.
- Por padrão, o Jira usa a porta 8080 ou a porta 443. No entanto, como é possível que um Administrador do Jira altere a porta usada pelo Jira, é necessário confirmar com o Administrador qual porta o servidor Jira está usando.
- O servidor deverá suportar conexões https (para garantir a segurança, o http sem https não é compatível).
- O certificado usado para habilitar conexões https ao servidor deve ser válido e deve ser emitido por uma autoridade de certificação conhecida.
É necessário abrir meu firewall para usar o Conector Smartsheet para Jira?
Sim - como o Smartsheet para Jira é executado na internet, é preciso que as conexões da internet sejam capazes de acessar a API REST do servidor Jira. Você tem as seguintes opções para expor seu servidor Jira ao Smartsheet pela internet:
Opção 1:Permitir conexões ao Jira
A API REST do Jira é uma porta personalizada do host Apache Tomcat em que o Jira foi implantado. Como os endpoints da API REST estão em um caminho separado da interface do usuário e das páginas de login do Jira, não será necessário permitir acesso pela internet à interface do usuário ou às telas de login do servidor Jira.
Você poderá restringir as conexões de entrada ao servidor Jira para poder se conectar apenas aos seguintes caminhos do servidor Jira:
- https://
/ /rest/* - https://
/ /auth/* - https://
/ /plugins/*
Você poderá restringir e impedir conexões com a internet para todos os outros caminhos no seu servidor Jira.
Opção 2: Proxy Reverso
Se você estiver usando um proxy reverso em seu firewall, o Jira deverá estar ciente do proxy para garantir que os endereços e as URLs corretos sejam enviados de volta ao cliente. Se você receber um erro de rejeição de assinatura OAuth durante a configuração de uma conexão ou se quiser obter mais informações sobre como configurar corretamente o Jira quando um servidor de proxy estiver sendo usado, confira a documentação da Atlassian em https://confluence.atlassian.com/display/APPLINKS/OAuth+troubleshooting+guide#OAuthtroubleshootingguide-OAuthsignaturerejected
A Atlassian fornece o seguinte recurso recomendado para proteger o Jira, mesmo quando ele está exposto publicamente à internet:
- Configuração de segurança no ambiente externo
- Proteção dos aplicativos Jira com o Apache HTTP Server
- Uso de proxy de aplicativos de servidor da Atlassian com o Apache HTTP Server (mod_proxy_http)
- Guia de solução de problemas do OAuth: Assinatura OAuth rejeitada
- O uso de proxy de aplicativos de servidor da Atlassian com o IIS (Serviços de Informação da Internet) da Microsoft
Como faço para verificar se a conexão com meu servidor Jira é do Smartsheet e é segura?
Adotamos as seguintes medidas para garantir a segurança e a autenticação do Conector Smartsheet para Jira e do seu servidor Jira.
Permissão de tráfego HTTPS/TLS
Seu servidor Jira deve permitir conexões através de HTTPS/TLS usando um certificado emitido por uma autoridade de certificação conhecida com credibilidade. Esta medida garante o seguinte:
- Como o seu certificado é privado e está disponível apenas para você, quando o Smartsheet para Jira se conecta ao servidor Jira, nosso sistema sabe que o Smartsheet está se conectando ao servidor Jira e não foi redirecionado por um invasor para outro servidor e que não há nenhum ataque intermediário (MITM) em andamento.
- Usando HTTPS/TLS, todo o tráfego entre o Smartsheet para Jira e o servidor Jira é criptografado.
Autenticação de link de aplicativo do Jira
Quando o Administrador do Jira configura sua conexão entre o Conector Smartsheet para Jira e o servidor Jira dele, o Smartsheet gera um par de chaves RSA Pública/de Consumidor exclusivo para cada instância da organização e o servidor Jira registrado no Smartsheet para Jira.
- O Administrador do Conector Jira colará a chave pública no servidor Jira para configurar o “Link de aplicativo”. Em cada solicitação/chamada que o Smartsheet para Jira faz ao servidor Jira da organização, o Smartsheet para Jira assina a solicitação com a chave de Consumidor do Smartsheet, que o Jira verifica usando a chave Pública copiada ao registrar o Link de aplicativo.
- O uso de chaves RSA Pública/de Consumidor garante que apenas o Smartsheet para Jira esteja fazendo conexões com o servidor Jira. Isso ocorre porque nenhum outro sistema possui a chave de Consumidor correspondente à chave Pública, que é usada para autenticar todas as solicitações de API enviadas ao Jira. Isso garante que nenhuma outra pessoa ou sistema na internet possa obter acesso autenticado à API REST do seu servidor Jira.
Existem endereços IP usados com o Jira que eu posso adicionar à Allowlist em nosso firewall?
As medidas tomadas para garantir a segurança entre os aplicativos do Smartsheet e do Jira estão descritas acima (Como permitir conexões ao Jira e detalhes de segurança) e acreditamos que adicionar um endereço IP - ou de um intervalo de endereços IP - à Allowlist de conexões de entrada não agrega nada significativo em termos de aprimoramento da segurança. O Smartsheet publica um registro de DNS A em aws.relay.smartsheet.com, que pode ser adicionado a uma Allowlist do seu firewall. O registro de DNS A será interpretado e resultará no endereço IP de saída do Conector Jira.
Não recomendamos que você interprete esse registro de DNS A para obter o endereço IP subjacente e adicione esse IP obtido à Allowlist, pois se o alterarmos, o que pode perfeitamente acontecer, o Smartsheet não conseguirá mais se conectar ao seu servidor Jira. Ao incluir o registro de DNS A em sua Allowlist, suas regras de firewall continuarão permitindo que o Smartsheet para Jira se conecte quando os endereços IP subjacentes forem alterados.
Solucionando problemas das mensagens de erro de conexão auto-hospedada
Erro: Conexão recusada pelo host do Jira. Verifique se a URL do host do Jira está correta e acessível.
Você receberá esta mensagem de erro se o Conector não puder acessar o servidor Jira ou se a Chave pública e a Chave de Consumidor forem inseridas incorretamente. Como o Smartsheet para Jira é executado na internet, é preciso que as conexões da internet sejam capazes de acessar a API REST do servidor Jira. Você precisará garantir que está usando uma Porta que permita HTTPS (por exemplo, 8080 ou 443), pois o HTTP não tem suporte.
Erro: Não foi possível encontrar um certificado SSL válido no host do Jira. Peça ao seu Administrador do Jira que instale um certificado válido (observe que os certificados expirados são considerados inválidos).
Para usar o Conector Smartsheet para Jira com um servidor auto-hospedado, você precisará usar um certificado de uma autoridade de certificação confiável e o certificado deverá ser válido. Alguns exemplos de quando uma autoridade de certificação será considerada inválida são:
-
O certificado não está instalado corretamente.
-
A cadeia intermediária de certificados está ausente.
- O certificado é de uma autoridade confiável, mas pode ter sido assinado por uma autoridade não confiável.
Se o servidor Jira estiver disponível ao público ou seu firewall estiver temporariamente aberto, você poderá usar uma ferramenta de teste SSL de terceiros (por exemplo, serviço de avaliação de servidor SSL/TLS fornecido pelo Qualys SSL Labs [www.ssllabs.com]) para verificar se o seu certificado foi instalado corretamente. Se você perceber algum erro especificando que o certificado está incompleto, pode ser necessário entrar em contato com o fornecedor do certificado diretamente para obter ajuda na resolução de erros comuns ou para obter informações sobre onde fazer o download dos certificados faltantes ou incompletos.
IMPORTANTE: Embora seu certificado possa estar instalado corretamente, ele ainda pode não ser um certificado com suporte do Smartsheet. Se ainda for exibido o erro acima após a verificação dos seus certificados, contate o Suporte do Smartsheet.
A SMARTSHEET NÃO ASSUME QUALQUER RESPONSABILIDADE PELA DISPONIBILIDADE, PRECISÃO, FUNCIONALIDADE, ADERÊNCIA A POLÍTICAS DE TERCEIROS OU PELA LEGALIDADE DE QUALQUER SERVIÇO, WEBSITES OU OUTROS RECURSOS DE TERCEIROS REFERENCIADOS NESTE ARTIGO, E NÃO ENDOSSA TAIS SERVIÇOS, SITES OU RECURSOS, NEM O CONTEÚDO, OS PRODUTOS OU OS SERVIÇOS DISPONÍVEIS A PARTIR DESSES. VOCÊ ASSUME TODOS OS RISCOS DECORRENTES DO USO POR VOCÊ DE QUALQUER SERVIÇO, SITE OU RECURSO DE TERCEIROS, FICANDO COMO O ÚNICO RESPONSÁVEL PELO CUMPRIMENTO DE QUALQUER TERMO DE USO APLICÁVEL.
Error messages and FAQs
Error: Connection refused by Jira host. Please verify that the Jira host URL is correct and accessible.
You’ll receive this error message if the connector can't access your Jira server, or the Public Key and Consumer Key were entered incorrectly. Since Smartsheet for Jira is on the Internet, it must be possible for connections from the Internet to reach the Jira server’s REST API. Ensure you are using a Port that allows for HTTPS (e.g. 8080 or 443), as HTTP is not supported.
Error: Unable to find a valid SSL certificate on the Jira host. Please have your Jira Administrator install a valid certificate (note that expired certificates are considered invalid).
To use the Smartsheet for Jira connector with a self-hosted server, you will need to use a certificate from a trusted certificate authority, and the certificate must be valid. Some examples of when a certificate authority will be considered invalid are:
-
The certificate is not installed correctly.
-
The intermediate certificate chain is missing.
-
Certificate is from a trusted authority, but may be signed by an untrusted authority.
If your Jira server is publicly available, or your firewall is temporarily open, you can use a third-party SSL test tool (for example, SSL/TLS server assessment service provided by Qualys SSL Labs (www.ssllabs.com)) to check if your certificate has been installed correctly. If you notice any errors specifying the certificate is incomplete, you may need to contact the certificate supplier directly for assistance in resolving common errors, or for information on where to download missing or incomplete certificates.
IMPORTANT: Although your certificate may be installed correctly, it still may not be a certificate supported by Smartsheet. If you still receive the above error after you’ve checked your certificates, please reach out to Smartsheet Support.
Are there IP addresses used with Jira I can add to the Allowlist in our firewall?
Adding IP addresses to the Allowlist, or a range of IP Addresses of incoming connections does not offer any meaningful improvement to security. Smartsheet publishes a DNS A record at aws.relay.smartsheet.com which can be added to the Allowlist in your firewall. The DNS A record will resolve to the Jira connector's outgoing IP Address.
We do not recommend you resolve this DNS A record to the underlying IP address and add the IP addresses to the Allowlist because if we change it, which is possible to occur, then Smartsheet will no longer be able to connect to your Jira server. By adding the DNS A record to your Allowlist, your firewall rules will continue to permit Smartsheet for Jira to connect when the underlying IP addresses change.