Gateway Insight
En una implementación de NetScaler Gateway, la visibilidad de los detalles de acceso de un usuario es esencial para solucionar problemas de error de acceso. Como administrador de red, quiere saber cuándo un usuario no puede iniciar sesión en NetScaler Gateway y conocer la actividad del usuario y los motivos del error de inicio de sesión. Por lo general, esta información no está disponible a menos que el usuario envíe una solicitud de resolución.
Gateway Insight proporciona visibilidad de los errores encontrados por todos los usuarios, independientemente del modo de acceso, en el momento de iniciar sesión en NetScaler Gateway. Puede ver una lista de todos los usuarios disponibles, el número de usuarios activos, el número de sesiones activas y los bytes y licencias utilizados por todos los usuarios en un momento dado. Puede ver los errores del análisis de puntos finales (EPA), la autenticación, el inicio de sesión único (SSO) y el inicio de aplicaciones de un usuario. También puede ver los detalles de las sesiones activas y finalizadas de un usuario.
Gateway Insight también proporciona visibilidad de los motivos del error de inicio de aplicaciones para aplicaciones virtuales. Esto mejora su capacidad para solucionar cualquier tipo de problemas de inicio de sesión o inicio de aplicaciones. Puede ver la cantidad de aplicaciones iniciadas, la cantidad de sesiones totales y activas, la cantidad de bytes totales y el ancho de banda consumido por las aplicaciones. Puede ver los detalles de los usuarios, las sesiones, el ancho de banda y los errores de inicio de una aplicación.
Puede ver la cantidad de puertas de enlace, la cantidad de sesiones activas, el total de bytes y el ancho de banda que utilizan todas las puertas de enlace asociadas a un dispositivo NetScaler Gateway en un momento dado. Puede ver los errores de EPA, autenticación, inicio de sesión único y lanzamiento de aplicaciones para una Gateway. También puede ver los detalles de todos los usuarios asociados a una Gateway y su actividad de inicio de sesión.
Todos los mensajes de registro se almacenan en la base de datos NetScaler ADM, por lo que puede ver los detalles de los errores de cualquier período de tiempo. También puede ver un resumen de los errores de inicio de sesión y determinar en qué etapa del proceso de inicio de sesión se ha producido un error.
Puntos que tener en cuenta
- Gateway Insight se admite en las siguientes implementaciones:
- Access Gateway
- Unified Gateway
-
La versión y la compilación de NetScaler ADM deben ser iguales o posteriores a las del dispositivo NetScaler Gateway.
- Se puede ver una hora de informes de Gateway Insight para instancias de NetScaler con licencia Advanced. Una licencia Premium es imprescindible para ver los informes de Gateway Insight más allá de una hora.
Limitaciones
-
NetScaler Gateway no admite Gateway Insight cuando el método de autenticación está configurado como autenticación basada en certificados.
-
Para los informes de Gateway Insight, la información de ubicación geográfica no se proporciona desde el dispositivo NetScaler.
-
Los inicios de sesión de usuario correctos, la latencia y los detalles de nivel de aplicación para aplicaciones y escritorios ICA virtuales solo están visibles en el panel Usuarios de HDX Insight.
-
En el modo de doble salto, no está disponible la visibilidad de las fallas en el dispositivo NetScaler Gateway en la segunda DMZ.
-
No se notifican problemas de acceso al escritorio de Protocolo de escritorio remoto (RDP).
-
Gateway Insight es compatible con los siguientes tipos de autenticación. Si se utiliza otro tipo de autenticación distinto de estos, es posible que veas algunas discrepancias en Gateway Insight.
- Locales
- LDAP
- RADIUS
- TACACS
- SAML
- OTP nativo
-
Conexión de OAuth-OpenID
Para la autenticación de OAuth-OpenID Connect, NetScaler puede actuar como una parte de confianza de conexión (RP) de OAuth-OpenID o proveedor de identidad de conexión (IdP) de OAuth-OpenID. Cuando la autenticación se realiza correctamente, el nombre de usuario se informa en la ficha Usuarios en el informe Gateway Insight. Sin embargo, no puede identificar si la sesión se creó en el IdP o en el RP.
Nota: La autenticación OAuth-OpenID Connect se admite en NetScaler ADM versión 13.1 compilación 4.xx y posteriores.
Habilitar Gateway Insight
Para habilitar Gateway Insight para su dispositivo NetScaler Gateway, primero debe agregar el dispositivo NetScaler Gateway a NetScaler ADM. A continuación, debe habilitar AppFlow para el servidor virtual que representa la aplicación VPN. Para obtener información sobre cómo agregar dispositivos a NetScaler ADM, consulte Agregar dispositivos.
Nota
Para ver los errores del análisis de punto final (EPA) en NetScaler ADM, debe habilitar la autenticación, la autorización y el registro de nombres de usuario de auditoría de AppFlow en el dispositivo NetScaler Gateway.
El siguiente procedimiento para habilitar la información de Gateway es aplicable si NetScaler ADM es 13.0 Build 36.27:
-
Vaya a Infraestructura > Instanciasy seleccione la instancia para la que quiere habilitar AppFlow.
-
En la lista Seleccionar acción, seleccione Configurar análisis.
-
En la página Configurar Insight, en Configurar Analytics, seleccione NetScaler Gateway.
-
Seleccione el servidor virtual y, a continuación, haga clic en Habilitar AppFlow.
-
En la pantalla Habilitar AppFlow, en la lista Seleccionar expresión, haga clic en true.
-
Junto a Modo de transporte, active la casilla de verificación Logstream.
Nota
Puede elegir IPFIX o Logstream como modo de transporte.
Para obtener más información sobre IPFIX y Logstream, consulte Descripción general de Logstream.
-
Haga clic en Aceptar.
Para NetScaler ADM versión 13.0 Build 41.x o posterior
-
Vaya a Infraestructura > Instanciasy seleccione la instancia.
-
En la lista Seleccionar acción, seleccione Configurar análisis.
-
Seleccione el servidor virtual y haga clic en Habilitar análisis.
-
En Opciones avanzadas:
-
Seleccione Logstream
-
Seleccione NetScaler Gateway
-
-
Haga clic en Aceptar.
Habilitar la autenticación, autorización y auditoría de AppFlow el registro de nombres de usuario en un dispositivo NetScaler Gateway mediante la GUI
-
Vaya a Configuración > Sistema > AppFlow > Configuración y, a continuación, haga clic en Cambiar configuración de AppFlow.
-
En la pantalla Configurar ajustes de AppFlow, seleccione Nombre de usuario AAAy, a continuación, haga clic en Aceptar
Ver los informes de Gateway Insight
En NetScaler ADM, puede ver los informes de todos los usuarios, aplicaciones y puertas de enlace asociados a los dispositivos NetScaler Gateway, y puede ver los detalles de un usuario, aplicación o puerta de enlace en particular. En la sección Descripción general, puede ver los errores de EPA, SSO, Autenticación y Lanzamiento de aplicaciones. También puede ver un resumen de los diferentes modos de sesión utilizados por los usuarios para iniciar sesión, los tipos de clientes y el número de usuarios que han iniciado sesión cada hora.
Nota
Al crear un grupo, puede asignar roles al grupo, proporcionar acceso de nivel de aplicación al grupo y asignar usuarios al grupo. El análisis de NetScaler ADM ahora admite la autorización basada en direcciones IP virtuales. Ahora los usuarios pueden ver informes de todas las Insights solo para las aplicaciones (servidores virtuales) a las que están autorizados. Para obtener más información sobre los grupos y la asignación de usuarios al grupo, consulte Configurar grupos.
Para ver los errores de EPA, SSO, autenticación, autorización y lanzamiento de aplicaciones
-
En NetScaler ADM, vaya a Gateway > Gateway Insight.
-
Seleccione el período de tiempo para el que quiere ver los detalles del usuario. Puede usar el control deslizante de tiempo para personalizar aún más el período seleccionado. Haga clic en Ir.
-
Haga clic en las fichas EPA (Análisis de punto final), Autenticación, Autorización, SSO (Inicio de sesión único) o Inicio de aplicación para mostrar los detalles del error.
Para ver un resumen de los modos de sesión, los clientes y el número de usuarios
En NetScaler ADM, vaya a Gateway > Gateway Insight, desplácese hacia abajo para ver los informes.
Visualización de informes de Gateway Insight para usuarios
Puede ver los informes de:
-
Todos los usuarios asociados con los dispositivos NetScaler Gateway.
-
La EPA, autenticación, inicio de sesión único y errores de inicio de aplicación para un usuario.
-
Los detalles de las sesiones activas y terminadas de un usuario.
-
Los tipos de modos de sesión como Túnel completo, VPN sin cliente y Proxy ICA.
Para ver los detalles del usuario
-
En NetScaler ADM, vaya a Gateway > Gateway Insight > Usuarios.
-
Seleccione el período de tiempo para el que quiere ver los detalles del usuario. Puede usar el control deslizante de tiempo para personalizar aún más el período seleccionado. Haga clic en Ir.
-
Puede ver el número de usuarios activos, el número de sesiones activas, bytes y licencias utilizadas por todos los usuarios durante el período de tiempo.
Desplácese hacia abajo para ver una lista de usuarios disponibles y usuarios activos.
En la ficha Usuarios o Usuarios activos, haga clic en un usuario para ver los siguientes detalles de usuario:
-
Detalles del usuario: puede ver información sobre cada usuario asociado con los dispositivos de puerta de enlace de ADC. Vaya a Gateway > Gateway Insight > Usuarios y haga clic en un usuario para ver las perspectivas del usuario seleccionado, como el modo de sesión, el sistema operativo y los exploradores.
-
Usuarios y aplicaciones para la puerta de enlace seleccionada: vaya a Puerta de enlace > GatewayInsight>Puerta de enlace y haga clic en el nombre de dominio de una puerta de enlace para ver las 10 aplicaciones principales y los 10 usuarios principales que están asociados a la puerta de enlace seleccionada.
-
Ver más opción para aplicaciones y usuarios: para más de 10 aplicaciones y usuarios, puede hacer clic en el icono más en Aplicaciones y Usuarios para ver todos los detalles de usuarios y aplicaciones asociados a la puerta de enlace seleccionada.
-
Ver detalles haciendo clic en el gráfico de barras: al hacer clic en un gráfico de barras, puede ver los detalles relevantes. Por ejemplo, vaya a Gateway > Gateway Insight > Gateway y haga clic en el gráfico de barras de gateway para ver los detalles de la puerta de enlace
-
El usuario Sesiones Activas y SesionesTerminadas.
-
El nombre del dominio de puerta de enlace y la dirección IP de la puerta de enlace en Sesiones
-
Duración del inicio de sesión del usuario.
-
El motivo de la sesión de cierre de sesión del usuario. Los motivos de cierre de sesión pueden ser:
- Tiempo de espera excedido
- Se cerró la sesión debido a un error interno
- Se ha cerrado la sesión debido al tiempo de espera de la sesión inactiva
- El usuario ha cerrado sesión
- El administrador ha detenido la sesión
Visualización de informes de Gateway Insight para aplicaciones
Puede ver el número de aplicaciones lanzadas, el número de sesiones totales y activas, el número total de bytes y el ancho de banda consumidos por las aplicaciones. Puede ver los detalles de los usuarios, las sesiones, el ancho de banda y los errores de inicio de una aplicación.
Para ver los detalles de la aplicación
-
En NetScaler ADM, vaya a Gateway > Gateway Insight > Aplicaciones.
-
Seleccione el período de tiempo para el que quiere ver los detalles de la aplicación. Puede usar el control deslizante de tiempo para personalizar aún más el período de tiempo seleccionado. Haga clic en Ir.
Ahora puede ver el número de aplicaciones lanzadas, el número de sesiones totales y activas, el número total de bytes y el ancho de banda consumidos por las aplicaciones.
Desplácese hacia abajo para ver el número de sesiones, ancho de banda y bytes totales consumidos por ICA y otras aplicaciones.
En la ficha Otras aplicaciones, puede hacer clic en una aplicación de la columna Nombre para mostrar los detalles de esa aplicación.
Visualización de informes de Gateway Insight para puertas de enlace
Puede ver la cantidad de puertas de enlace, la cantidad de sesiones activas, el total de bytes y el ancho de banda que utilizan todas las puertas de enlace asociadas a un dispositivo NetScaler Gateway en un momento dado. Puede ver los errores de EPA, autenticación, inicio de sesión único y lanzamiento de aplicaciones para una Gateway. También puede ver los detalles de todos los usuarios asociados a una Gateway y su actividad de inicio de sesión.
Para ver los detalles de la Gateway
-
En NetScaler ADM, vaya a Gateway > Gateway Insight > Gateways .
-
Seleccione el período de tiempo para el que quiere ver los detalles de la Gateway. Puede usar el control deslizante de tiempo para personalizar aún más el período de tiempo seleccionado. Haga clic en Ir.
Ahora puede ver el número de puertas de enlace, el número de sesiones activas, el total de bytes y el ancho de banda que utilizan todas las puertas de enlace asociadas con un dispositivo NetScaler Gateway en un momento dado.
Desplácese hacia abajo para ver los detalles de la Gateway, como el nombre de dominio de la puerta de enlace, el nombre del servidor virtual, la dirección IP de NetScaler, los modos de sesión y los bytes totales.
Puede hacer clic en una Gateway de la columna Nombre de dominio de Gateway para mostrar los errores de EPA, autenticación, inicio de sesión único e inicio de aplicaciones y otros detalles de una puerta de enlace.
Exportación de informes
Puede guardar los informes de Gateway Insight con todos los detalles que se muestran en la GUI en formato PDF, JPEG, PNG o CSV en su computadora local. También puede programar la exportación de los informes a direcciones de correo electrónico especificadas en varios intervalos.
Nota
- Los usuarios con acceso de solo lectura no pueden exportar informes.
- Los informes de mapas geográficos se exportan solo si el NetScaler ADM tiene conectividad a Internet.
Para exportar un informe
-
En la ficha Panel de control, en el panel derecho, haga clic en el botón de exportación.
-
En Exportar ahora, seleccione el formato necesario y, a continuación, haga clic en Exportar.
Para programar la exportación:
-
En la ficha Panel de control, en el panel derecho, haga clic en el botón de exportación.
-
En Planificar exportación, especifique los detalles y haga clic en Planificar.
Para agregar un servidor de correo electrónico o una lista de distribución de correo electrónico:
-
En la ficha Configuración, vaya a Configuración > Notificaciones > Correo electrónico.
-
En el panel derecho, seleccione Servidor de correo electrónicopara agregar un servidor de correo electrónico o seleccione Lista de distribución de correo electrónico para crear una lista de distribución de correo electrónico.
-
Especifique los detalles y haga clic en Crear.
Para exportar todo el panel de Gateway Insight:
-
En la ficha Panel de control, en el panel derecho, haga clic en el botón de exportación.
-
En Exportar ahora, seleccione Formato PDF y, a continuación, haga clic en Exportar.
Casos de uso de Gateway Insight
Los siguientes casos de uso muestran cómo puede usar Gateway Insight para obtener visibilidad de los detalles de acceso, las aplicaciones y las puertas de enlace de los usuarios en los dispositivos NetScaler Gateway.
Un usuario no puede iniciar sesión en el dispositivo NetScaler Gateway ni en los servidores web internos
Usted es un administrador de NetScaler Gateway que supervisa los dispositivos NetScaler Gateway a través de NetScaler ADM y quiere comprobar por qué un usuario no puede iniciar sesión o en qué fase del proceso de inicio de sesión se ha producido el error.
NetScaler ADM le permite ver los detalles del error de inicio de sesión del usuario en las siguientes etapas del proceso de inicio de sesión:
-
Autenticación
-
Análisis de puntos finales (EPA)
-
Single Sign-On
En NetScaler ADM, puede buscar un usuario en particular y, a continuación, ver todos los detalles de ese usuario.
Para buscar un usuario:
En NetScaler ADM, vaya a Gateway > Gateway Insight y, en el cuadro de texto Buscar usuarios, especifique el usuario en el que quiere buscar.
Fallos de autenticación
Puede ver errores de autenticación, como credenciales incorrectas o ninguna respuesta del servidor de autenticación. También puede ver el factor por el que falló la autenticación.
Para ver los detalles del error de autenticación:
-
En NetScaler ADM, vaya a Gateway > Gateway Insight.
-
En la sección Descripción general, seleccione el período de tiempo para el que quiere ver los errores de autenticación. Puede usar el control deslizante de tiempo para personalizar aún más el período de tiempo seleccionado. Haga clic en Ir.
-
Haga clic en la ficha Autenticación. Puede ver el número de errores de autenticación en un momento dado en el gráfico de errores.
Desplácese hacia abajo para ver los detalles de cada error de autenticación, como Nombre de usuario, Dirección IP del cliente, Tiempo de error, Tipo de autenticación, Dirección IP del servidor de autenticación, etc. en la tabla de la misma ficha. La columna Descripción del error de la tabla muestra el motivo del error de inicio de sesión y la columna Estado muestra el enésimo factor en el que se produjo el error.
Puede hacer clic en un usuario en la columna Nombre de usuario para mostrar los errores de autenticación y otros detalles de ese usuario. Puede personalizar la tabla para agregar o eliminar columnas mediante el icono de configuración.
Importante:
Si la autenticación de OAuth-OpenID Connect falla, el nombre de usuario se muestra como NA en el informe de Gateway Insight para algunos de los errores, por ejemplo, “Error de verificación de token”. En este error, los nombres de usuario no están disponibles para el error de autenticación debido a un “error de verificación de token” en la parte de confianza de conexión de OAuth-OpenID.
Errores de EPA
Puede ver los errores de EPA en la etapa previa o posterior a la autenticación.
Importante:
NetScaler Gateway notifica los errores de la EPA a NetScaler ADM para las expresiones clásicas y avanzadas. Para las expresiones avanzadas, los nombres de las directivas no se muestran en el panel de control de Gateway Insight. Los errores se notifican si la EPA está configurada como uno de los factores del flujo de autenticación de nFactor.
Para ver los detalles de fallo de EPA:
-
En NetScaler ADM, vaya a Gateway > Gateway Insight.
-
En la sección Descripción general, seleccione el período de tiempo para el que quiere ver los errores de EPA. Puede usar el control deslizante de tiempo para personalizar aún más el período de tiempo seleccionado. Haga clic en Ir.
-
Haga clic en la ficha EPA (Análisis de punto final). Puede ver el número de errores de EPA en un momento dado en el gráfico de errores.
Desplázate hacia abajo para ver los detalles de cada error de la EPA, como el nombre de usuario, la dirección IP de NetScaler, la dirección IP de Gateway, la VPN, el tiempo de error, el nombre de la directiva, el nombre de dominio de Gateway y más, de la tabla de la misma ficha.
La columna Descripción del error de la tabla muestra el motivo del fallo de la EPA. Por ejemplo, el mensaje de error «Fallos en la comprobación previa a la autenticación de la EPA» aparece cuando se produce un error en una comprobación de la EPA debido a errores de nFactor EPA.
La columna Nombre de la directiva muestra la directiva que provocó el error.
Puede hacer clic en un usuario en la columna Nombre de usuario para mostrar los errores de EPA y otros detalles de ese usuario. Puede personalizar la tabla para agregar o eliminar columnas mediante la flecha hacia abajo. El identificador del caso se muestra en las entradas que no tienen un nombre de usuario asignado si se utiliza la EPA como factor en el flujo de autenticación de nFactor.
Nota
NetScaler Gateway no informa de los errores de la EPA cuando la expresión “clientSecurity” se configura como una regla de directiva de sesión de VPN.
Errores de SSO
Puede ver todos los errores de SSO en cualquier etapa de los usuarios que acceden a cualquier aplicación a través del dispositivo NetScaler Gateway.
Para ver los detalles del error de inicio de SSO:
-
En NetScaler ADM, vaya a Gateway > Gateway Insight.
-
En la sección Descripción general, seleccione el período de tiempo para el que quiere ver los errores de SSO. Puede usar el control deslizante de tiempo para personalizar aún más el período de tiempo seleccionado. Haga clic en Ir.
-
Haga clic en la ficha SSO (Inicio de sesión único). Puede ver el número de errores de SSO en cualquier momento dado en el gráfico de errores.
Desplácese hacia abajo para ver los detalles de cada error de SSO , como Nombre de usuario, Dirección IP de NetScaler, Tiempo de error, Descripción del error, Nombre del recurso y más desde la tabla de la misma ficha.
Puede hacer clic en un usuario en la columna Nombre de usuario para mostrar los errores de SSO y otros detalles de ese usuario. Puede personalizar la tabla para agregar o eliminar columnas mediante la flecha hacia abajo.
Después de iniciar sesión correctamente en NetScaler Gateway, un usuario no puede iniciar ninguna aplicación virtual
Si se produce un error en el inicio de la aplicación, puede obtener visibilidad de los motivos, como Secure Tíquet Authority (STA) o Citrix Virtual App Server, o un tíquet STA no válido. Puede ver la hora en que se produjo el error, los detalles del error y el recurso para el que falló la validación STA.
Para ver los detalles del error de inicio de la aplicación:
-
En NetScaler ADM, vaya a Gateway > Gateway Insight.
-
En la sección Descripción general, seleccione el período de tiempo para el que quiere ver los errores de SSO. Puede usar el control deslizante de tiempo para personalizar aún más el período de tiempo seleccionado. Haga clic en Ir.
-
Haga clic en la ficha Inicio de la aplicación. Puede ver el número de errores de inicio de la aplicación en un momento dado en el gráfico Fallos.
Desplácese hacia abajo para ver los detalles de cada error de inicio de la aplicación, como NetScaler IP Address, Error Time, Error Description, Resource Name, Gateway Domain Name, etc., desde la tabla de la misma ficha. La columna Descripción del error de la tabla muestra la dirección IP del servidor STA y la columna Nombre del recurso muestra los detalles del recurso para el que ha fallado la validación STA.
Puede hacer clic en un usuario en la columna Nombre de usuario para mostrar los errores de inicio de la aplicación y otros detalles de ese usuario. Puede personalizar la tabla para agregar o eliminar columnas mediante la flecha hacia abajo.
Después de iniciar correctamente una nueva aplicación, un usuario quiere ver el total de bytes y ancho de banda consumidos por esa aplicación
Después de haber iniciado correctamente una nueva aplicación, en NetScaler ADM, puede ver el total de bytes y ancho de banda consumidos por esa aplicación.
Para ver el total de bytes y ancho de banda consumidos por una aplicación:
En NetScaler ADM, vaya a Gateway > Gateway Insight > Aplicaciones, desplácese hacia abajo y, en la ficha Otras aplicaciones, haga clic en la aplicación de la que quiere ver los detalles.
Puede ver el número de sesiones y el número total de bytes consumidos por esa aplicación.
También puede ver el ancho de banda consumido por esa aplicación.
Un usuario ha iniciado sesión correctamente en NetScaler Gateway, pero no puede acceder a determinados recursos de red de la red interna
Con Gateway Insight, puede determinar si el usuario tiene acceso a los recursos de red o no. También puede ver el nombre de la directiva que dio lugar al error.
Para ver el acceso de los usuarios para los recursos:
-
En NetScaler ADM , vaya a Gateway > Gateway Insight > Applications .
-
En la pantalla que aparece, desplácese hacia abajo y, en la ficha Otras aplicaciones, seleccione la aplicación en la que el usuario no pudo iniciar sesión.
-
Desplácese hacia abajo y, en la tabla Usuarios, se muestran todos los usuarios que tienen acceso a esa aplicación.
Es posible que diferentes usuarios usen distintas implementaciones de NetScaler Gateway o que inicien sesión en NetScaler Gateway a través de diferentes modos de acceso. El administrador debe poder ver detalles sobre los tipos de implementación y los modos de acceso
Con Gateway Insight, puede ver un resumen de los diferentes modos de sesión utilizados por los usuarios para iniciar sesión, los tipos de clientes y el número de usuarios que han iniciado sesión cada hora. También puede determinar si la implementación de un usuario es una puerta de enlace unificada o una implementación clásica de NetScaler Gateway. Para implementaciones de Gateway unificada, puede ver el nombre y la dirección IP del servidor virtual de conmutación de contenido y el nombre del servidor virtual VPN.
Para ver el resumen de los modos de sesión, el tipo de clientes y el número de usuarios que han iniciado sesión:
-
En NetScaler ADM, vaya a Gateway > Gateway Insight.
-
En la sección Descripción general, desplácese hacia abajo para ver los gráficos Modo de sesión, Sistemas operativos, Exploradores y Actividad de inicio de sesión del usuario que muestran los diferentes modos de sesión utilizados por los usuarios para iniciar sesión, los tipos de clientes y el número de usuarios que han iniciado sesión cada hora.