Вопросы и ответы о межсетевом экране соединителя для Jira (локальный сервер)

В этой статье перечислены требования к серверу и межсетевому экрану, которые необходимо удовлетворить, прежде чем приступать к настройке локального сервера для работы с соединителем Smartsheet для Jira. Если вы не используете межсетевой экран и вам нужны инструкции по настройке соединителя для Jira, см. статью Центра справки о настройке Jira Cloud и локального сервера Jira.

Предварительные требования

Для успешной настройки соединителя Smartsheet для Jira локальный сервер Jira должен отвечать перечисленным ниже требованиям.

• Для локальных серверов Jira используется Jira версии 7.2 или более поздней.
• Сервер Jira должен быть настроен так, чтобы приложение Smartsheet могло подключаться к нему через Интернет. Требуется защищённое соединение (по протоколу HTTPS).
  
  ПРИМЕЧАНИЕ. Smartsheet поддерживает особый набор стандартных сертификатов, выдаваемых центром сертификации, которые предоставляются вместе с Java.
   
• Неполные или просроченные сертификаты считаются недействительными. Обратитесь с запросом к вашему основному контакту в Smartsheet перед покупкой или в процессе её совершения.
• Если вы используете межсетевой экран, рекомендуем ознакомиться с разделом о его настройке, чтобы узнать о дополнительных требованиях.

Настройка межсетевого экрана для работы с соединителем

Возможно, вам придется изменить настройки межсетевого экрана, чтобы обеспечить взаимодействие между локальными сервером Jira и облачным соединителем Smartsheet для Jira. Необходимо учитывать моменты, изложенные ниже.

• Соединитель Smartsheet для Jira работает в облаке и должен иметь возможность подключаться к вашему серверу Jira. Если сервер Jira защищён межсетевым экраном, ИТ-администратору организации, возможно, придётся изменить конфигурацию межсетевого экрана, чтобы приложение Smartsheet могло подключиться к API REST сервера Jira через Интернет.
• По умолчанию Jira использует порт 8080 или 443. Администратор Jira может изменить используемый Jira порт, поэтому уточняйте у него эти сведения.
• Сервер должен поддерживать соединения HTTPS (из соображений безопасности протокол HTTP без расширения HTTPS не поддерживается).
• Сертификат, используемый для активации соединений HTTPS с сервером, должен быть действительным и выпущенным хорошо известным центром сертификации.

Нужно ли открывать межсетевой экран, чтобы использовать соединитель Smartsheet для Jira? 

Да. Так как Smartsheet для Jira работает в Интернете, нужно, чтобы подключения из Интернета могли получать доступ к API REST сервера Jira. Чтобы обеспечить приложению Smartsheet доступ к серверу Jira через Интернет, можно воспользоваться следующими возможностями.

Вариант 1. Разрешение подключений к Jira

Интерфейс API REST Jira — это пользовательский порт на хосте Apache Tomcat, на котором развернута система Jira. Так как путь к конечным точкам API REST не совпадает с путём к пользовательскому интерфейсу Jira и страницам входа, вам не нужно разрешать доступ через Интернет к пользовательскому интерфейсу сервера Jira и его экранам входа.
Вы можете ограничить входящие подключения к серверу Jira, чтобы для подключения использовались только следующие пути на сервере Jira:

• https:////rest/* 
• https:////auth/*
• https:////plugins/*

Использование других путей на сервере Jira для подключения через Интернет можно запретить.

Вариант 2. Обратный прокси-сервер

Если наряду с межсетевым экраном используется обратный прокси-сервер, система Jira должна о нём знать, чтобы отправлять клиенту правильные адреса и URL-ссылки. Если при настройке соединения выдаётся ошибка отклонения подписи OAuth, а также если вы хотите узнать о том, как правильно настроить Jira при использовании прокси-сервера, изучите документацию Atlassian на странице https://confluence.atlassian.com/display/APPLINKS/OAuth+troubleshooting+guide#OAuthtroubleshootingguide-OAuthsignaturerejected.

Компания Atlassian рекомендует изучить следующие ресурсы, посвящённые обеспечению безопасности системы Jira, открытой для доступа из Интернета:

• Настройка безопасности во внешней среде
• Обеспечение безопасности приложений Jira с помощью HTTP-сервера Apache
• Использование прокси с серверными приложениями Atlassian с помощью HTTP-сервера Apache (mod_proxy_http)
• Руководство по устранению проблем с OAuth: отклонение подписи OAuth
• Использование прокси с серверными приложениями Atlassian с помощью Microsoft Internet Information Services (IIS)

Как проверить, работает ли подключение к серверу Jira из Smartsheet и безопасно ли оно?

Чтобы гарантировать безопасность и проверку подлинности соединителя Smartsheet для Jira и вашего сервера Jira, мы приняли меры, описанные ниже.

Разрешение передачи данных по протоколу HTTPS/TLS

Ваш сервер Jira должен разрешать подключения по протоколу HTTPS/TLS с использованием сертификата, выпущенного хорошо известным, надёжным центром сертификации. Эта мера обеспечивает следующие преимущества:

• Поскольку ваш сертификат является закрытым и доступен только вам, при подключении Smartsheet для Jira к вашему серверу Jira наша система понимает, что подключение выполняет приложение Smartsheet, которое не было перенаправлено злоумышленником на другой сервер, так что это не атака типа «злоумышленник в середине».
• Благодаря использованию HTTPS/TLS все данные, которыми обмениваются Smartsheet для Jira и ваш сервер Jira, шифруются.

Проверка подлинности ссылки на приложение Jira

Когда администратор Jira настраивает подключение соединителя Smartsheet для Jira к серверу Jira, Smartsheet генерирует пару ключей RSA (открытый ключ и ключ потребителя), уникальную для каждого корпоративного экземпляра и сервера Jira, зарегистрированных в Smartsheet для Jira. 

• Администратор соединителя для Jira указывает открытый ключ на своём сервере Jira, чтобы задать параметр «Ссылка на приложение». В каждом запросе или вызове, отправляемом корпоративному серверу Jira, Smartsheet для Jira указывает в качестве подписи ключ потребителя Smartsheet, который Jira сличает с открытым ключом, скопированным при регистрации ссылки на приложение.
• Ключи RSA (открытый ключ и ключ потребителя) гарантируют, что к серверу Jira сможет подключиться только Smartsheet для Jira, поскольку у других систем нет ключа потребителя, соответствующего открытому ключу, который используется при проверке подлинности каждого API-запроса, отправляемого к Jira. Таким образом, другой человек или система не сможет пройти проверку подлинности и получить через Интернет доступ к API REST вашего сервера Jira.

Используются ли для Jira IP-адреса, которые можно занести в список разрешённых в брандмауэре?

Меры по обеспечению безопасного взаимодействия между приложениями Smartsheet и Jira описаны выше (см. сведения о разрешении подключений к Jira и о безопасности). Мы полагаем, что занесение IP-адреса или диапазона IP-адресов в список разрешённых входящих соединений не внесёт значимых улучшений с точки зрения безопасности. Smartsheet публикует на сайте aws.relay.smartsheet.com A-запись DNS, которую можно внести в список разрешённых адресов брандмауэра. A-записи DNS будет присваиваться исходящий IP-адрес соединителя для Jira.

Не рекомендуется присваивать этой A-записи DNS базовый IP-адрес и заносить его в список разрешённых, так как при изменении IP-адреса (что вполне возможно) Smartsheet больше не сможет подключаться к вашему серверу Jira. Если же внести A-запись DNS в список разрешённых, то по правилам брандмауэра Smartsheet для Jira сможет подключаться и в том случае, если базовые IP-адреса изменятся.

Устранение ошибок при подключении к локальному серверу

Ошибка: хост Jira отказал в подключении. Убедитесь, что URL-адрес хоста Jira указан правильно и что он доступен.

Это сообщение об ошибке выдаётся, если соединитель не смог получить доступ к серверу Jira или если были неправильно указаны открытый ключ и ключ потребителя. Поскольку Smartsheet для Jira работает в Интернете, нужно, чтобы подключения из Интернета могли получать доступ к API REST сервера Jira. Вам потребуется убедиться, что используемый порт подходит для HTTPS (например, порт 8080 или 443), так как протокол HTTP не поддерживается.

Ошибка: не удалось найти действительный SSL-сертификат на хосте Jira. Попросите администратора Jira установить действительный сертификат (учтите, что просроченные сертификаты считаются недействительными).

Чтобы использовать соединитель Smartsheet для Jira вместе с локальным сервером, нужен действительный сертификат, полученный от надёжного центра сертификации. Ниже приведены примеры сертификатов, рассматриваемых как недействительные.

• Сертификат установлен неправильно.

• Отсутствует цепочка промежуточных сертификатов.

• Сертификат выдан надёжным центром сертификации, но подписан недоверенной организацией.

Если сервер Jira общедоступен или межсетевой экран временно открыт, можно использовать сторонний тестовый инструмент SSL (например, службу оценки серверов SSL/TLS, которую предоставляет Qualys SSL Labs (www.ssllabs.com)), чтобы убедиться, что сертификат установлен правильно. Если обнаружились ошибки, указывающие на неполноту сертификата, вы можете напрямую обратиться к поставщику сертификатов, чтобы он помог вам устранить стандартные ошибки или указал, откуда можно загрузить полноценные, правильные версии требуемых сертификатов.

ВНИМАНИЕ! Smartsheet может не поддерживать ваш сертификат, даже если он установлен правильно. Если после проверки сертификатов снова возникает указанная выше ошибка, обратитесь в службу поддержки Smartsheet.

КОМПАНИЯ SMARTSHEET НЕ НЕСЁТ НИКАКОЙ ОТВЕТСТВЕННОСТИ ЗА ДОСТУПНОСТЬ, ТОЧНОСТЬ, ФУНКЦИОНАЛЬНОСТЬ И ЗАКОННОСТЬ СТОРОННИХ СЛУЖБ, ВЕБ-САЙТОВ ИЛИ ДРУГИХ РЕСУРСОВ, УПОМИНАЕМЫХ В ДАННОЙ СТАТЬЕ, А ТАКЖЕ ЗА ИХ СООТВЕТСТВИЕ СТОРОННИМ ПОЛИТИКАМ. ИХ УПОМИНАНИЯ В ЭТОЙ СТАТЬЕ НЕ СЛЕДУЕТ РАССМАТРИВАТЬ КАК РЕКОМЕНДАЦИИ SMARTSHEET В ОТНОШЕНИИ ЭТИХ СТОРОННИХ СЛУЖБ, ВЕБ-САЙТОВ, РЕСУРСОВ, КОНТЕНТА, ПРОДУКТОВ И УСЛУГ. ВЫ БЕРЁТЕ НА СЕБЯ ВСЕ РИСКИ, СВЯЗАННЫЕ С ИСПОЛЬЗОВАНИЕМ ВАМИ СТОРОННИХ СЛУЖБ, ВЕБ-САЙТОВ ИЛИ РЕСУРСОВ. ВЫ НЕСЁТЕ ЕДИНОЛИЧНУЮ ОТВЕТСТВЕННОСТЬ ЗА СОБЛЮДЕНИЕ ВСЕХ ПРИМЕНИМЫХ УСЛОВИЙ ИСПОЛЬЗОВАНИЯ.