Gilt für
- Business
- Enterprise
FAQs zur Firewall mit Jira Connector (selbst gehosteter Server)
Dieser Artikel beschreibt dieServer-undFirewall-Anforderungen, die vor der Konfiguration eines selbst gehosteten Servers im Smartsheet for Jira Connector erfüllt sein müssen. Wenn Sie keine Firewall verwenden und eine Anleitung zur Einrichtung des Jira Connectors suchen, lesen Sie den ArtikelJira Cloud und Einrichtung eines selbst gehosteten Serversim Hilfecenter.
Bevor Sie beginnen: Anforderungen
Um eine erfolgreiche Einrichtung des Smartsheet for Jira Connectors zu gewährleisten, muss Ihr selbst gehosteter Jira-Server folgende Anforderungen erfüllen:
- Jira Version 7.2 oder höher für selbst gehostete Jira-Server.
- Ihr Jira-Server muss so konfiguriert sein, dass Smartsheet eine Verbindung über das Internet zu ihm herstellen kann: Es ist eine sichere (HTTPS-)Verbindung erforderlich.
HINWEIS: Smartsheet unterstützt einen spezifischen Satz an Zertifikaten einer Zertifikatstelle, der in Java enthalten ist. - Abgelaufene oder unvollständige Zertifikatstellen werden als ungültig angesehen. Fragen Sie Ihren primären Smartsheet-Kontakt vor oder während des Kaufs danach.
- Wenn Sie eine Firewall verwenden, erhalten Sie auch unten unterDie Firewall konfigurierenInformationen zu den weiteren Anforderungen.
Ihre Firewall für den Connector konfigurieren
Möglicherweise müssen Sie Ihre Firewall-Einstellungen so ändern, dass die Kommunikation zwischen Ihrem selbst gehosteten Jira-Server und dem Cloud-basierten Jira-Connector möglich wird. Berücksichtigen Sie Folgendes:
- Der Smartsheet for Jira Connector wird in der Cloud ausgeführt und muss eine Verbindung zu Ihrem Jira-Server herstellen können. Wenn Ihr Jira-Server durch eine Firewall geschützt ist, muss der IT-Administrator Ihrer Organisation möglicherweise die Firewall-Konfiguration verändern, damit Smartsheet über das Internet eine Verbindung zur REST-API Ihres Jira-Servers herstellen kann.
- Standardmäßig verwendet Jira Port 8080 oder Port 443. Da ein Jira-Administrator jedoch den von Jira verwendeten Port ändern kann, müssen Sie Ihren Jira-Administrator fragen, welchen Port Ihr Jira-Server verwendet.
- Der Server muss HTTPS-Verbindungen unterstützen (aus Sicherheitsgründen wird HTTP statt HTTPS nicht unterstützt).
- Das für HTTPS-Verbindungen zum Server verwendete Zertifikat muss gültig und von einer bekannten Zertifikatstelle ausgestellt worden sein.
Muss ich meine Firewall öffnen, um den Smartsheet for Jira Connector zu verwenden?
Ja – da Smartsheet for Jira über das Internet ausgeführt wird, müssen Internetverbindungen zur REST-API des Jira-Servers hergestellt werden können. Sie haben folgende Möglichkeiten, um Ihren Jira-Server für Smartsheet über das Internet zu öffnen:
Option 1: Verbindungen zu Jira erlauben
Die Jira-REST-API ist ein benutzerdefinierter Port auf dem Apache Tomcat-Host, auf dem Jira bereitgestellt wurde. Da sich die REST-API-Endpunkte auf einem von der Jira-Benutzeroberfläche und den Anmeldeseiten unabhängigen Pfad befinden, müssen Sie den Zugriff auf die Benutzeroberfläche des Jira-Servers oder auf Anmeldebildschirme über das Internet nicht erlauben.
Sie können eingehende Verbindungen zu Ihrem Jira-Server nur für die folgenden Pfade auf Ihrem Jira-Server erlauben:
- https://
/ /rest/* - https://
/ /一个uth/* - https://
/ /plugins/*
Sie können Internetverbindungen zu allen anderen Pfaden auf Ihrem Jira-Server einschränken und verbieten.
Option 2: Reverse-Proxy
Wenn Sie einen Reverse-Proxy in Ihrer Firewall verwenden, muss Jira den Proxy kennen, um sicherzustellen, dass die richtigen Adressen und URLs zurück an den Client gesendet werden. Wenn Sie eine Fehlermeldung für eine abgelehnte OAuth-Signatur während der Einrichtung der Verbindung erhalten oder wenn Sie weitere Informationen zur ordnungsgemäßen Konfiguration von Jira bei Verwendung eines Proxy-Servers erhalten möchten, lesen Sie die Atlassian-Dokumentation unter https://confluence.atlassian.com/display/APPLINKS/OAuth+troubleshooting+guide#OAuthtroubleshootingguide-OAuthsignaturerejected
Atlassian bietet die folgende empfohlene Ressource zur Sicherung von Jira, auch wenn es öffentlich im Internet sichtbar ist:
- Configuring security in the external environment(Die Sicherheit in der externen Umgebung konfigurieren)
- Securing Jira applications with Apache HTTP Server(Jira-Anwendungen mit Apache HTTP Server sichern)
- Proxying Atlassian server applications with Apache HTTP Server (mod_proxy_http)(Einen Proxy für Atlassian-Serveranwendungen mit Apache HTTP Server (mod_proxy_http) verwenden)
- OAuth Troubleshooting Guide: OAuth Signature Rejected(OAuth-Fehlerbehebungsanleitung: OAuth-Signatur abgelehnt)
- Proxying Atlassian server applications with Microsoft Internet Information Services (IIS)(Einen Proxy für Atlassian-Serveranwendungen mit Microsoft Internet Information Services (IIS) verwenden)
Wir kann ich feststellen, ob die Verbindung zu meinem Jira-Server von Smartsheet stammt und sicher ist?
Wir ergreifen folgende Maßnahmen, um die Sicherheit und Authentifizierung des Smartsheet for Jira Connectors und Ihres Jira-Servers sicherzustellen.
HTTPS-/TLS-Verkehr zulassen
Ihr Jira-Server muss Verbindungen über HTTPS/TLS mithilfe eines von einer bekannten Zertifikatstelle ausgestellten Zertifikats zulassen. Diese Maßnahme gewährleistet Folgendes:
- Da Ihr Zertifikat privat und nur für Sie verfügbar ist, weiß unser System, wenn Smartsheet for Jira eine Verbindung zu Ihrem Jira-Server herstellt, dass Smartsheet eine Verbindung zu Ihrem Jira-Server herstellt und keine Umleitung durch einen Angreifer auf einen anderen Server stattgefunden hat bzw. dass kein MITM-Angriff (Man-in-the-Middle) vorliegt.
- Durch die Verwendung von HTTPS/TLS wird der gesamte Datenverkehr zwischen Smartsheet for Jira und Ihrem Jira-Server verschlüsselt.
Authentifizierung des Jira-Anwendungslinks
Wenn der Jira-Administrator eine Verbindung zwischen dem Smartsheet for Jira Connector und dem Jira-Server herstellt, generiert Smartsheet ein öffentliches/Verbraucher-RSA-Schlüsselpaar, das nur für eine Organisationsinstanz und den Jira-Server verwendet wird, der bei Smartsheet for Jira registriert ist.
- Der Jira Connector-Verwalter fügt den öffentlichen Schlüssel in seinen Jira-Server ein, um den „Anwendungslink“ einzurichten. Bei jeder Anforderung/jedem Aufruf, den Smartsheet for Jira an den Jira-Server der Organisation richtet, signiert Smartsheet for Jira die Anforderung mit dem Smartsheet-Verbraucherschlüssel, welcher von Jira mithilfe des öffentlichen Schlüssels verifiziert wird, der bei der Registrierung des Anwendungslinks kopiert wird.
- Verwendung冯offentlichen / Verbraucher-RSA-Sc死去hlüsseln gewährleistet, dass nur Smartsheet for Jira Verbindungen zum Jira-Server herstellen kann. Dies liegt daran, dass kein anderes System den zum öffentlichen Schlüssel passenden Verbraucherschlüssel hat, der für die Authentifizierung aller an Jira gesendeten API-Anforderungen verwendet wird. Dadurch wird sichergestellt, dass keine andere Person bzw. kein anderes System im Internet authentifizierten Zugriff auf die REST-API Ihres Jira-Servers erlangen kann.
Werden für Jira IP-Adressen verwendet, die ich auf die Liste der zulässigen Domänen in unserer Firewall setzen kann?
Die Maßnahmen zur Gewährleistung der Sicherheit zwischen Smartsheet und Jira sind oben dargelegt (Verbindungen zu Jira erlauben und Einzelheiten zur Sicherheit). Wir sind der Meinung, dass es die Sicherheit nicht entscheidend verbessert, wenn Sie die IP-Adresse oder einen Bereich von IP-Adressen für eingehende Verbindungen auf die Liste der zulässigen Domänen setzen. Smartsheet veröffentlicht einen DNS A-Datensatz unter aws.relay.smartsheet.com, den Sie auf die Liste der zulässigen Domänen für Ihre Firewall setzen können. Der DNS A-Datensatz löst die ausgehende IP-Adresse des Jira Connectors auf.
Wir empfehlen nicht die Auflösung dieses DNS A-Datensatzes in die zugrunde liegende IP-Adresse bzw. die IP-Adressen auf die Liste der zulässigen Domänen zu setzen, da Smartsheet bei einer Änderung der IP-Adresse, die wahrscheinlich irgendwann stattfinden wird, keine Verbindung mehr zu Ihrem Jira-Server herstellen kann. Wenn Sie den DNS A-Datensatz auf die Liste der zulässigen Domänen setzen, erlauben Ihre Firewall-Regeln weiterhin, dass Smartsheet for Jira eine Verbindung herstellt, wenn sich die zugrunde liegenden IP-Adressen ändern.
Fehlerbehebung bei Verbindungsfehlern bei selbst gehosteten Servern
Fehler: Connection refused by Jira host. Please verify that the Jira host URL is correct and accessible. (Verbindung durch den Jira-Host verweigert. Vergewissern Sie sich, dass die URL für den Jira-Host richtig ist und darauf zugegriffen werden kann.)
您erhalten这Fehlermeldung,要是der连接or nicht auf Ihren Jira-Server zugreifen kann oder wenn der öffentliche Schlüssel und der Verbraucherschlüssel falsch eingegeben wurden. Da Smartsheet for Jira über das Internet ausgeführt wird, müssen Internetverbindungen zur REST-API des Jira-Servers hergestellt werden können. Sie müssen sicherstellen, dass Sie einen Port verwenden, der HTTPS erlaubt (z. B. 8080 oder 443), da HTTP nicht unterstützt wird.
Fehler: Unable to find a valid SSL certificate on the Jira host. Please have your Jira Administrator install a valid certificate (note that expired certificates are considered invalid). (Kein gültiges SSL-Zertifikat auf dem Jira-Host gefunden. Bitten Sie Ihren Jira-Administrator, ein gültiges Zertifikat zu installieren.)
Um den Smartsheet for Jira Connector mit einem selbst gehosteten Server zu verwenden, müssen Sie ein Zertifikat einer vertrauenswürdigen Zertifikatstelle verwenden und das Zertifikat muss gültig sein. Einige Beispiele dafür, wann eine Zertifikatstelle als ungültig angesehen wird, sind:
Das Zertifikat ist nicht ordnungsgemäß installiert.
Die zwischengeschaltete Zertifikatkette fehlt.
- Das Zertifikat stammt von einer vertrauenswürdigen Stelle, wurde aber vielleicht von einer nicht vertrauenswürdigen Stelle signiert.
Wenn Ihr Jira-Server öffentlich verfügbar ist oder wenn Ihre Firewall vorübergehend offen ist, können Sie einDrittanbieter-SSL-Test-Toolverwenden (z. B. SSL-/TLS-Serveranalysedienst von Qualys SSL Labs (www.ssllabs.com)), um die ordnungsgemäße Installation Ihres Zertifikats zu überprüfen. Wenn Fehlermeldungen angezeigt werden, die besagen, dass das Zertifikat unvollständig ist, müssen Sie möglicherweise den Zertifikatanbieter direkt kontaktieren, um Hilfe bei der Lösung häufig auftretender Fehler oder Informationen dazu zu erhalten, wo Sie fehlende oder unvollständige Zertifikate herunterladen können.
WICHTIG: Auch wenn Ihr Zertifikat ordnungsgemäß installiert wurde, wird es möglicherweise von Smartsheet nicht unterstützt. Wenn Sie Ihre Zertifikate überprüft haben und immer noch die Fehlermeldung oben angezeigt wird, wenden Sie sich an die Smartsheet-Hilfe.
内容是不VERANTWORTLICH奥得河HAFTBAR FÜR DIE VERFÜGBARKEIT, GENAUIGKEIT, FUNKTIONALITÄT, EINHALTUNG VON DRITTANBIETERRICHTLINIEN ODER DIE RECHTMÄßIGKEIT VON DRITTANBIETERDIENSTEN, -WEBSITES ODER ANDEREN IN DIESEM ARTIKEL GENANNTEN RESSOURCEN UND SMARTSHEET UNTERSTÜTZT KEINE DIESER DIENSTE, WEBSITES ODER RESSOURCEN ODER DEN INHALT, PRODUKTE ODER SERVICES. SIE ÜBERNEHMEN DAS GESAMTE RISIKO, DAS SICH DURCH DIE NUTZUNG DIESER DRITTANBIETERDIENSTE, -WEBSITES ODER -RESSOURCEN ERGIBT, UND SIND ALLEINVERANTWORTLICH FÜR DIE EINHALTUNG DER GELTENDEN GESCHÄFTSBEDINGUNGEN.
Error messages and FAQs
Error: Connection refused by Jira host. Please verify that the Jira host URL is correct and accessible.
You’ll receive this error message if the connector can't access your Jira server, or the Public Key and Consumer Key were entered incorrectly. Since Smartsheet for Jira is on the Internet, it must be possible for connections from the Internet to reach the Jira server’s REST API. Ensure you are using a Port that allows for HTTPS (e.g. 8080 or 443), as HTTP is not supported.
Error: Unable to find a valid SSL certificate on the Jira host. Please have your Jira Administrator install a valid certificate (note that expired certificates are considered invalid).
To use the Smartsheet for Jira connector with a self-hosted server, you will need to use a certificate from a trusted certificate authority, and the certificate must be valid. Some examples of when a certificate authority will be considered invalid are:
The certificate is not installed correctly.
The intermediate certificate chain is missing.
Certificate is from a trusted authority, but may be signed by an untrusted authority.
If your Jira server is publicly available, or your firewall is temporarily open, you can use athird-party SSL test tool(for example, SSL/TLS server assessment service provided by Qualys SSL Labs (www.ssllabs.com)) to check if your certificate has been installed correctly. If you notice any errors specifying the certificate is incomplete, you may need to contact the certificate supplier directly for assistance in resolving common errors, or for information on where to download missing or incomplete certificates.
IMPORTANT: Although your certificate may be installed correctly, it still may not be a certificate supported by Smartsheet. If you still receive the above error after you’ve checked your certificates, please reach out to Smartsheet Support.
Are there IP addresses used with Jira I can add to the Allowlist in our firewall?
Adding IP addresses to the Allowlist, or a range of IP Addresses of incoming connections does not offer any meaningful improvement to security. Smartsheet publishes a DNS A record at aws.relay.smartsheet.com which can be added to the Allowlist in your firewall. The DNS A record will resolve to the Jira connector's outgoing IP Address.
We do not recommend you resolve this DNS A record to the underlying IP address and add the IP addresses to the Allowlist because if we change it, which is possible to occur, then Smartsheet will no longer be able to connect to your Jira server. By adding the DNS A record to your Allowlist, your firewall rules will continue to permit Smartsheet for Jira to connect when the underlying IP addresses change.