Jira连接器防火墙设置(自托管服务器)

适用于

内容
  • 业务
  • 企业
Smartsheet高级包

有关计划类型和包含的功能的详细信息,请参见内容的计划页面。

功能

谁可以使用这个功能

你一定是个Sysadmin在Smartsheet和Jira配置连接器。你一定是个Smartsheet授权用户创建或编辑工作流。您还需要一个访问您的Jira项目的Jira帐户。

查看是否包含此功能内容区域内容政府

本文为Jira Connector提供了Smartsheet上自托管服务器的服务器和防火墙需求。

如果您没有使用防火墙,正在寻找Jira连接器安装说明,请查看我们的Jira云和自托管安装

先决条件

您的自托管Jira服务器必须满足以下要求:

  • 用于自托管Jira服务器的Jira 7.2或更高版本。Jira 9.0版本是支持。有关更多信息,请参阅Jira版本兼容性
  • 配置您的Jira服务器,以允许Smartsheet从Internet连接到它:需要一个安全(HTTPS)连接。

    Smartsheet支持Java附带的一组特定的标准CA(证书颁发机构)证书。
  • 过期或不完整的证书颁发机构将被视为无效。在购买Smartsheet前或购买期间向您的主要联系人咨询。

配置防火墙以使用连接器

Jira连接器的Smartsheet在云中运行,需要连接到你的Jira服务器。如果有防火墙保护您的Jira服务器,您可能需要修改防火墙配置以启用连接。

需要知道的事情

  • 默认情况下,Jira使用端口8080或端口443。但是,由于Jira管理员可以更改Jira使用的端口,请与Jira管理员确认您的Jira服务器使用的端口。
  • 服务器必须支持HTTPS连接。不支持HTTP不支持HTTPS。
  • 用于启用到服务器的HTTPS连接的证书必须是有效的,并且必须由知名的证书颁发机构颁发。

打开防火墙到Jira连接器的Smartsheet

由于Smartsheet for Jira在Internet上运行,因此Internet上的连接必须能够到达Jira服务器的REST API。您可以通过以下选项通过Internet将您的Jira服务器暴露给Smartsheet:

选项1:允许连接到Jira

Jira REST API是部署Jira的Apache Tomcat主机上的自定义端口。由于REST API端点位于与Jira用户界面和登录页面不同的路径上,因此不需要允许从Internet访问Jira服务器的UI或登录屏幕。

您可以限制传入连接到您的Jira服务器,只能连接到您的Jira服务器上的以下路径:

  • https:// < yourJirahost.com > / <上下文> / rest / *
  • https:// < yourJirahost.com > / <上下文> /身份验证/ *
  • https:// < yourJirahost.com > / <上下文> / plugins / *

您可以限制和阻止Internet连接到Jira服务器上的所有其他路径。

选项2:反向代理

如果在防火墙中使用反向代理,Jira必须知道代理,以确保将正确的地址和url发送回客户端。如果在设置连接时收到OAuth Signature Rejected错误,或者有关使用代理服务器配置Jira的更多信息,请参见Atlassian的文档

Atlassian提供了以下关于如何保护Jirat的资源:欧宝体育app官方888

验证连接到我的Jira服务器是从Smartsheet,是安全的

以下措施确保了Jira连接器和Jira服务器的Smartsheet的安全性和身份验证。

允许HTTPS/TLS流量

您的Jira服务器必须允许使用由知名的、可信的证书颁发机构颁发的证书通过HTTPS/TLS进行连接。这确保了以下内容:

  • 由于您的证书是私有的,仅对您可用,当Smartsheet for Jira连接到您的Jira服务器时,我们的系统知道Smartsheet正在连接到您的Jira服务器,并且没有被攻击者重定向到另一个服务器,并且没有中间人(MITM)攻击正在进行中。
  • 通过使用HTTPS/TLS, Smartsheet for Jira和您的Jira服务器之间的所有流量都是加密的。

Jira应用程序链接认证

当Jira管理员在Jira连接器的Smartsheet和他们的Jira服务器之间建立连接时,Smartsheet会为每个组织实例和为Jira注册的Jira服务器生成一个唯一的RSA公共/消费者密钥对。

  • Jira连接器管理员向他们的Jira服务器提供公钥来设置应用程序链接。在Smartsheet for Jira向组织的Jira服务器发出的每个请求/调用中,Smartsheet for Jira使用Smartsheet的消费者密钥签署请求,Jira使用注册应用程序链接时复制的公钥进行验证。
  • 使用RSA公共/消费者密钥确保只有Smartsheet for Jira连接到Jira服务器。没有其他系统具有与用于验证发送给Jira的每个API请求的公钥相对应的消费者密钥。Internet上没有其他人或系统能够通过身份验证访问您的Jira服务器的REST API。

错误信息和常见问题解答

错误:连接被Jira主机拒绝。请验证Jira主机URL是否正确且可访问。

如果连接器无法访问您的Jira服务器,或者公钥和消费者密钥输入错误,您将收到此错误消息。由于用于Jira的Smartsheet在Internet上,因此Internet上的连接必须能够到达Jira服务器的REST API。确保您使用的端口允许HTTPS(例如8080或443),因为不支持HTTP。

错误:无法在Jira主机上找到有效的SSL证书。请让您的Jira管理员安装有效的证书(注意,过期的证书被视为无效)。

要将Smartsheet用于带有自托管服务器的Jira Connector,您需要使用来自受信任的证书颁发机构的证书,并且该证书必须有效。证书颁发机构何时被视为无效的一些示例如下:

  • 证书未正确安装。

  • 中间证书链缺失。

  • 证书来自受信任的权威机构,但可以由不受信任的权威机构签署。

如果您的Jira服务器是公开可用的,或者您的防火墙是临时开放的,您可以使用第三方SSL测试工具(例如,Qualys SSL Labs提供的SSL/TLS服务器评估服务(www.ssllabs.com)),以检查您的证书是否已正确安装。如果您注意到任何指定证书不完整的错误,您可能需要直接与证书供应商联系,以帮助解决常见错误,或获取有关在何处下载缺失或不完整证书的信息。

重要提示:虽然您的证书可能正确安装,但它仍然可能不是Smartsheet支持的证书。如果您在检查证书后仍然收到上述错误,请联系Smartsheet支持。

是否有与Jira一起使用的IP地址,我可以添加到防火墙的Allowlist中?

将IP地址添加到Allowlist或传入连接的IP地址范围并不能提供任何有意义的安全性改进。Smartsheet在aws.relay.smartsheet.com上发布DNS a记录,该记录可以添加到防火墙的Allowlist中。DNS A记录将解析为Jira连接器的出站IP地址。

我们不建议您将此DNS A记录解析为底层IP地址并将IP地址添加到Allowlist,因为如果我们更改它,这是可能发生的,那么Smartsheet将不再能够连接到您的Jira服务器。通过将DNS A记录添加到您的Allowlist,当底层IP地址发生变化时,您的防火墙规则将继续允许Smartsheet为Jira连接。