WeChat WiFi-Login integrieren: Interaktionen über Social Captive Portals erfassen
Dieser Leitfaden beschreibt detailliert, wie Sie die WeChat WiFi-Authentifizierung in Captive Portals für Unternehmen integrieren. Er behandelt die OAuth 2.0-Architektur, die RADIUS-Integration und die schrittweise Bereitstellung auf Cisco Meraki-, HPE Aruba- und Juniper Mist-Hardware. IT-Managern und Netzwerkarchitekten wird ein praktisches Framework an die Hand gegeben, um First-Party-Daten von den 1,3 Milliarden WeChat-Nutzern zu erfassen und gleichzeitig die Interaktion über das Folgen von Official Accounts und Weiterleitungen nach dem Login zu fördern.
Diesen Leitfaden anhören
Podcast-Transkript ansehen
- Management-Zusammenfassung
- Technische Details
- Funktionsweise der WeChat WiFi-Authentifizierung
- Anforderungen an den Account-Typ
- Walled Garden: Die wichtigste Netzwerkkonfiguration
- RADIUS Integration und Richtliniendurchsetzung
- Implementierungsleitfaden
- Schritt 1: WeChat-Entwicklerkonto konfigurieren
- Schritt 2: Purple konfigurieren
- Schritt 3: Netzwerk-Hardware konfigurieren
- Best Practices
- Fehlerbehebung und Risikominderung
- OAuth Redirect Mismatch
- Störungen durch den Captive Portal Assistant (CPA)
- Token-Ablauf und veraltete Sitzungen
- Geopolitische und regulatorische Risiken
- ROI und geschäftliche Auswirkungen

Management-Zusammenfassung
Die Integration von WeChat WiFi-Login verwandelt ein standardmäßiges Captive Portal in ein strategisches Tool zur Erfassung von First-Party-Daten für chinesische Besucher und das gesamte WeChat-Ökosystem. Für IT-Manager und Netzwerkarchitekten erfordert die Bereitstellung von WeChat-Login über OAuth 2.0 und RADIUS ein ausgewogenes Verhältnis zwischen reibungslosem Gastzugang und sicherer, konformer Datenerfassung. Dieses Handbuch beschreibt die technische Architektur, die Implementierungsschritte und die Sicherheitsaspekte für die Bereitstellung der WeChat WiFi-Authentifizierung auf Enterprise-Netzwerkhardware wie Cisco Meraki, HPE Aruba, Ruckus und Juniper Mist. Es zeigt, wie die Guest WiFi -Plattform von Purple den OAuth-Flow vermittelt, Profildaten Ihrem CRM zuordnet und das Engagement durch Weiterleitungen nach dem Login zu Ihrem offiziellen WeChat-Konto steigert.
WeChat hat über 1,3 Milliarden monatlich aktive Nutzer, und Daten der Welttourismusorganisation deuten darauf hin, dass chinesische Reisende im Jahr 2023 voraussichtlich 255 Milliarden US-Dollar international ausgeben würden. Für Hotels, Luxuseinzelhandel, Flughäfen und Konferenzzentren ist das Angebot von WeChat WiFi-Login ein direkter Kanal zu dieser Zielgruppe. Purple ist an mehr als 80.000 aktiven Standorten im Einsatz und verzeichnete im Jahr 2024 440 Millionen Logins, was uns direkte Einblicke in erfolgreiche und fehlerhafte Implementierungen in der Praxis gibt.
Technische Details
Funktionsweise der WeChat WiFi-Authentifizierung
Die WeChat WiFi-Authentifizierung ersetzt die manuelle Formulareingabe durch einen OAuth 2.0-Flow, der direkt in das Captive Portal-Erlebnis integriert ist. Die Sequenz umfasst fünf Komponenten, die in einer definierten Reihenfolge kommunizieren:
- Das Gastgerät verbindet sich mit der SSID des Standorts.
- Der Access Point (AP) fängt unauthentifizierten HTTP-Datenverkehr ab und leitet das Gerät zu einem von Purple gehosteten Captive Portal weiter.
- Der Benutzer wählt auf der Portalseite die WeChat-Login-Option.
- Das Portal initiiert eine OAuth 2.0-Autorisierungsanfrage an die API der offenen WeChat-Plattform und übergibt dabei die AppID und die Redirect-URI des Standorts.
- Der WeChat-Client öffnet sich auf dem Gerät und fordert den Benutzer auf, die Verbindung zu autorisieren.
- WeChat gibt einen Autorisierungscode an die Redirect-URI zurück.
- Die Purple-Plattform tauscht den Autorisierungscode gegen ein Access-Token aus und ruft die Profildaten des Benutzers ab: OpenID, unionid, Spitzname, Avatar und registrierter Standort.
- Purple signalisiert dem RADIUS-Server, eine Access-Accept-Nachricht an den Access Point zu senden.
- Der Access Point gewährt Internetzugang und wendet die konfigurierten Richtlinien an (VLAN-Zuweisung, Bandbreitenbegrenzung, Sitzungs-Timeout).
- Das Portal leitet den Benutzer zum offiziellen WeChat-Konto des Standorts oder zu einer benutzerdefinierten Landingpage weiter.

Anforderungen an den Account-Typ
Dies ist die häufigste Fehlerquelle bei WeChat WiFi Implementierungen. Sie müssen ein verifiziertes WeChat Service-Konto (服务号) verwenden. Abonnement-Konten (Subscription Accounts) bieten nicht die OAuth 2.0 Web-Autorisierungs-APIs, die für die Integration eines Captive Portal erforderlich sind. Die folgende Tabelle fasst die wichtigsten Unterschiede zusammen:
| Feature | Service-Konto | Abonnement-Konto |
|---|---|---|
| OAuth 2.0 WiFi Login | Ja | Nein |
| API-Zugriffsebene | Vollständig | Eingeschränkt |
| Push-Nachrichten pro Monat | 4 | 30 |
| Platzierung in der Chat-Liste | Ja (als Kontakt) | Nein (im Ordner für Abonnements zusammengefasst) |
| WeChat Pay Integration | Ja | Nein |
| Verifizierung erforderlich | Ja | Ja |
Für den Erhalt eines verifizierten Service-Kontos ist entweder eine chinesische Geschäftslizenz oder ein spezielles Übersee-Bewerbungsverfahren über Tencent erforderlich, was eine jährliche Verifizierungsgebühr von 99 $ und eine Prüfungsdauer von zwei bis vier Wochen nach sich zieht.
Walled Garden: Die wichtigste Netzwerkkonfiguration
Der Walled Garden (auch bekannt als Pre-Authentication-Whitelist) definiert die IP-Adressen und Domains, die ein Gerät erreichen kann, bevor die Captive Portal Authentifizierung abgeschlossen ist. Wenn die WeChat API Domains nicht im Walled Garden hinterlegt sind, kann das Gerät den OAuth-Handshake nicht einleiten, und der Login schlägt im Hintergrund geräuschlos fehl.
Als Minimum müssen die folgenden Domains auf die Whitelist gesetzt werden:
*.weixin.qq.com*.wechat.com*.wx.qq.comres.wx.qq.commp.weixin.qq.com- Die WeChat CDN-IP-Bereiche (konsultieren Sie die von Tencent veröffentlichte Dokumentation der IP-Bereiche, da sich diese regelmäßig ändern)
Konfigurieren Sie dies bei Cisco Meraki unter Wireless > Access Control > Walled Garden. Verwenden Sie bei HPE Aruba die Whitelist des Captive Portal Profile. Konfigurieren Sie bei Juniper Mist die Liste der erlaubten Domains unter Guest Portal.
RADIUS Integration und Richtliniendurchsetzung
In dieser Architektur fungiert Purple als RADIUS Proxy. Nach einem erfolgreichen WeChat OAuth Austausch sendet Purple eine RADIUS Access-Accept-Nachricht an den Wireless-Controller des Standorts. Die Access-Accept-Nachricht kann Standard-RADIUS-Attribute enthalten, um benutzerspezifische Richtlinien durchzusetzen:
Tunnel-TypeundTunnel-Private-Group-IDfür die VLAN-Zuweisung (Isolierung des Gast-Traffics vom Unternehmensnetzwerk, entsprechend den Best Practices für die Segmentierung nach IEEE 802.1X)Session-Timeoutfür die automatische Trennung der Verbindung nach einem definierten ZeitraumWISPr-Bandwidth-Max-UpundWISPr-Bandwidth-Max-Downzur Bandbreitenbegrenzung
Die Architektur ist hardwareunabhängig. Purple lässt sich ohne Firmware-Änderungen oder Server vor Ort mit Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren.

Implementierungsleitfaden
Schritt 1: WeChat-Entwicklerkonto konfigurieren
Melden Sie sich auf der WeChat Official Accounts Platform (mp.weixin.qq.com) an. Navigieren Sie zu Einstellungen und Entwicklung > Sicherheitszentrum > Web-Autorisierungsdomänen. Aktivieren Sie die OAuth 2.0-Webautorisierung und fügen Sie Ihre Captive Portal-Domäne als autorisierte Callback-Domäne hinzu (z. B. wifi.yourvenue.com). WeChat sendet Autorisierungscodes nur an die hier registrierten Domänen zurück - Abweichungen führen zu unbemerktem Scheitern.
Rufen Sie Ihre AppID und das AppSecret im Bereich Einstellungen und Entwicklung > Basiskonfiguration ab. Speichern Sie das AppSecret sicher; behandeln Sie es wie einen privaten Schlüssel.
Schritt 2: Purple konfigurieren
Navigieren Sie im Purple-Portal zu Authentifizierung > Social Login und aktivieren Sie WeChat. Geben Sie die AppID und das AppSecret ein. Gestalten Sie die Begrüßungsseite des Captive Portals mit dem Drag-and-Drop-Editor von Purple. Platzieren Sie den WeChat-Login-Button als primären Call to Action (CTA) im sofort sichtbaren Bereich.
Konfigurieren Sie die Weiterleitung nach der Authentifizierung. Zu den Optionen gehören:
- Die Folgeseite für das offizielle WeChat-Konto des Standorts (empfohlen für die Kundenbindung)
- Eine Werbe-Landingpage, die in einem WeChat-Mini-Programm gehostet wird
- Eine Umfrageseite mit den WiFi Analytics -Tools von Purple
- Eine Anmeldeseite für ein Treueprogramm
Aktivieren Sie das MAC-Adressen-Caching unter Authentifizierung > Einstellungen für wiederkehrende Besucher. Stellen Sie die Cache-Dauer so ein, dass sie Ihrer typischen Besuchshäufigkeit entspricht (7 Tage werden für den Einzelhandel empfohlen, 30 Tage für Hotels). Wiederkehrende Besucher werden automatisch verbunden, ohne dass das Portal erneut angezeigt wird, während ihr Besuch weiterhin im Analytics-Dashboard registriert wird.
Schritt 3: Netzwerk-Hardware konfigurieren
Konfigurieren Sie auf Ihrem Wireless-Controller die Gäste-SSID für die Verwendung eines externen Captive Portals. Geben Sie die URL des Purple-Portals als URL für die Begrüßungsseite ein. Fügen Sie die WeChat-Domänen zur Walled Garden-Liste hinzu. Richten Sie die IP-Adresse des RADIUS-Servers und das von Purple bereitgestellte Shared Secret ein.
Testen Sie vor der Liveschaltung den vollständigen Ablauf mit einem Mobilgerät. Gehen Sie wie folgt vor:
- Stellen Sie eine Verbindung zur Gäste-SSID her.
- Vergewissern Sie sich, dass das Captive Portal im Mini-Browser des Captive Portal Assistant (CPA) geladen wird.
- Tippen Sie auf den WeChat-Login-Button und bestätigen Sie, dass sich der WeChat-Client öffnet.
- Autorisieren Sie die Verbindung und bestätigen Sie den Internetzugang.
- Vergewissern Sie sich, dass die Weiterleitung nach dem Login korrekt ausgelöst wird.
Best Practices
Optimieren Sie das Walled Garden. Ein falsch konfiguriertes Walled Garden ist die Hauptursache für Fehler beim WeChat-Login in der Praxis. Testen Sie vor dem Start und wiederholen Sie den Test nach jedem Firmware-Update des Netzwerks, da einige Controller bei Upgrades die Whitelist-Einträge zurücksetzen.
Steigern Sie das Engagement nach dem Login. Der Moment direkt nach der Authentifizierung ist der Zeitpunkt mit der höchsten Aufmerksamkeit beim Gäste WiFi Erlebnis. Leiten Sie Nutzer auf die Follow-Seite Ihres offiziellen Kontos weiter. Besucher, die Ihrem Konto folgen, bleiben über Push-Benachrichtigungen erreichbar, lange nachdem sie den Standort verlassen haben.
Implementieren Sie MAC-Caching für wiederkehrende Besucher. Eine erneute Authentifizierung bei jedem Besuch beeinträchtigt das Erlebnis. MAC-Caching reduziert Reibungspunkte für wiederkehrende Besucher, während der Besuch dennoch für Analysen erfasst wird. Weitere Informationen zu Verweilzeit- und Wiederkehrberichten finden Sie in den WiFi Analytics von Purple.
Wenden Sie Datenminimierung an. Fordern Sie nur die WeChat-Profilfelder an, die Ihr CRM tatsächlich nutzt. Die Abfrage unnötiger Berechtigungen erhöht die Abbruchrate bei der Autorisierung und verkompliziert die GDPR Konformität. Für die meisten Standorte reichen OpenID, Nickname und Avatar zur Personalisierung aus.
Isolieren Sie den Datenverkehr von Gästen über VLANs. Weisen Sie über WeChat authentifizierte Gäste einem dedizierten VLAN zu, das von Ihren Unternehmens- oder POS-Netzwerken isoliert ist. Dies erfüllt die Anforderungen zur Netzwerktrennung gemäß PCI-DSS und begrenzt das Schadensausmaß bei Sicherheitsvorfällen auf der Gästeseite. Eine vollständige Darstellung der WiFi Sicherheitsarchitektur finden Sie in unserem Leitfaden für Enterprise WiFi Sicherheit .
Gewährleisten Sie Konformität mit GDPR und PIPL. Zeigen Sie einen klaren Datenschutzhinweis auf der Portalseite an, bevor der Nutzer den WeChat-OAuth-Flow startet. Der Hinweis muss den Datenverantwortlichen nennen, die von WeChat erfassten Datenkategorien auflisten, die Rechtsgrundlage für die Verarbeitung angeben und auf die vollständige Datenschutzerklärung verlinken. Detaillierte Informationen finden Sie in unserem WiFi GDPR Compliance Guide .
-
Fehlerbehebung und Risikominderung
OAuth Redirect Mismatch
Wenn die in der WeChat-Entwicklerkonsole registrierte Callback-URL nicht exakt mit der von Purple für die Weiterleitung verwendeten URL übereinstimmt, gibt WeChat einen Fehlercode aus und blockiert die Autorisierung. Prüfen Sie auf Protokollkonflikte (HTTP vs. HTTPS), abschließende Schrägstriche und Unterschiede bei Subdomains. Die registrierte Domain muss eine exakte Zeichenfolgenübereinstimmung sein.
Störungen durch den Captive Portal Assistant (CPA)
Mobile Betriebssysteme nutzen CPA-Mini-Browser, um Captive Portal Netzwerke zu erkennen und zu verwalten. Diese Mini-Browser unterstützen oft nicht das Öffnen nativer Apps, was die Übergabe an die WeChat-App im OAuth-Flow unterbricht. Maßnahmen zur Risikominderung umfassen:
- Implementierung einer JavaScript-Weiterleitung, die die CPA-Umgebung erkennt und den vollständigen Systembrowser öffnet, bevor der OAuth-Flow gestartet wird.
- Anzeige klarer Anweisungen auf der Portalseite, die Nutzer auffordern, die Seite in einem vollwertigen Browser zu öffnen, falls die WeChat-Schaltfläche nicht reagiert.
Token-Ablauf und veraltete Sitzungen
WeChat-Access-Tokens laufen nach zwei Stunden ab. Wenn Ihre Plattform den Token nicht aktualisiert, wird der CRM-Datensatz des Nutzers nach der ersten Sitzung nicht mehr aktualisiert. Konfigurieren Sie die Einstellungen zur Token-Aktualisierung von Purple, um einen aktiven Token für die Dauer des Besuchs des Gastes aufrechtzuerhalten.
Geopolitische und regulatorische Risiken
WeChat unterliegt den Regulierungen der chinesischen Regierung und den Richtlinien der Tencent-Plattform. Der API-Zugriff kann ohne Vorankündigung gesperrt oder geändert werden. Um dieses Risiko zu minimieren, stellen Sie sicher, dass Ihr Captive Portal mehrere Authentifizierungsmethoden (E-Mail, SMS, andere Social-Logins) unterstützt, damit ein Ausfall der WeChat-API nicht Ihr gesamtes Gast-WiFi offline schaltet. Die Multi-Channel-Portale von Purple unterstützen diese Fallback-Architektur nativ.
ROI und geschäftliche Auswirkungen
Die Bereitstellung der WeChat-WiFi-Authentifizierung liefert messbare Erträge in drei Dimensionen.
Höhere Datenerfassungsraten. Der Social-Login beseitigt die Hürden des Formularausfüllens. Standorte, die die Social-Login-Optionen von Purple nutzen, berichten von Authentifizierungsabschlussraten, die um 20 bis 30 % höher liegen als bei vergleichbaren Portalen, die nur E-Mail anbieten (interne Daten von Purple, 2024). Bei einem Standort mit 500 Gast-WiFi-Verbindungen pro Tag bedeutet eine Steigerung um 25 % täglich 125 zusätzlich erfasste, verifizierte Profile.
Wachstum der Follower-Zahlen des Official Accounts. Die Weiterleitung authentifizierter Nutzer auf die Follow-Seite des Official Accounts verwandelt flüchtigen Publikumsverkehr in ein erreichbares digitales Publikum. Ein Hotel mit 200 über WeChat authentifizierten Besuchern pro Tag, das eine Follow-Rate von 40 % erzielt, gewinnt täglich 80 neue Follower für seinen Official Account - Follower, die gezielte Push-Benachrichtigungen über Angebote für Wiederholungsbesuche, Updates zu Treueprogrammen und saisonale Aktionen erhalten können.
Operative Transparenz. Die WiFi Analytics -Plattform von Purple korreliert über WeChat authentifizierte Sitzungen mit Verweildauer, Besuchsbeurteilung und Bewegungsdaten auf Zonenebene. Dies liefert den Betriebsleitern von Standorten die Daten zur Optimierung von Personaleinsatz, Layout und Timing von Werbeaktionen. Für Hospitality -Standorte lassen sich diese Daten direkt in PMS-Systeme integrieren, um Gästeprofile anzureichern.
Für Retail -Umgebungen repliziert die WeChat-Authentifizierung in Kombination mit der Analytics-Plattform von Purple die Datenfülle von E-Commerce-Niveau in einer physischen Filiale - eine Funktion, die immer wertvoller wird, da die Abschaffung von Drittanbieter-Cookies die Wirksamkeit von digitalem Retargeting verringert.
Für weiterführende Informationen lesen Sie unseren WiFi GDPR Compliance-Leitfaden und unseren Leitfaden für Enterprise WiFi-Sicherheit . Um zu erfahren, wie Purple in bestimmten Branchen eingesetzt wird, besuchen Sie unsere Seiten für das Gastgewerbe , den Einzelhandel , das Gesundheitswesen und das Transportwesen .
Schlüsseldefinitionen
OAuth 2.0
Ein Autorisierungsprotokoll nach Branchenstandard, das es einem Benutzer ermöglicht, einer Drittanbieteranwendung Zugriff auf seine Kontodaten bei einem anderen Dienst zu gewähren, ohne sein Passwort zu teilen. Bei der WeChat WiFi-Authentifizierung ist das Captive Portal die Drittanbieteranwendung und WeChat der Identity Provider.
Der zugrunde liegende Mechanismus für jeden Social-WiFi-Login. IT-Teams stoßen darauf, wenn sie die AppID, das AppSecret und den Redirect-URI in der WeChat-Entwicklerkonsole und auf der Purple-Plattform konfigurieren.
Captive Portal
Eine Webseite, die den Netzwerkverkehr eines Geräts abfängt und erfordert, dass der Benutzer sich autorisiert oder die Bedingungen akzeptiert, bevor der Internetzugang gewährt wird. Sie leitet alle HTTP-Anfragen an die Portal-URL weiter, bis die Authentifizierung abgeschlossen ist.
Die benutzerseitige Komponente des WeChat WiFi-Anmeldesystems. Purple hostet und verwaltet das Captive Portal als Cloud-Overlay auf der bestehenden Hardware des Standorts.
Walled Garden
Eine Pre-Authentifizierungs-Whitelist von IP-Adressen und Domains, die ein Gerät vor dem Abschluss der Captive Portal-Anmeldung erreichen kann. Erforderlich, um dem Gerät die Kommunikation mit den Authentifizierungsservern von WeChat während des OAuth-Flows zu ermöglichen.
Das am häufigsten falsch konfigurierte Element bei WeChat WiFi-Implementierungen. Muss auf SSID-Ebene auf dem Wireless Controller konfiguriert werden.
RADIUS
Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Abrechnung für den Netzwerkzugriff bereitstellt. Nach einem erfolgreichen WeChat OAuth-Austausch sendet Purple eine RADIUS-Access-Accept-Nachricht an den Access Point, um den Internetzugang freizugeben.
Das Protokoll, das die Purple Identity-Plattform mit der Netzwerkhardware des Standorts verbindet. IT-Teams konfigurieren RADIUS-Server-IP-Adressen und Shared Secrets im Wireless Controller.
WeChat Service-Konto (服务号)
Eine Kategorie des offiziellen WeChat-Kontos für Unternehmen, die vollen API-Zugriff einschließlich OAuth 2.0-Webseitenautorisierung bietet. Erscheint als Kontakt in der Chat-Liste des Benutzers. Erfordert eine chinesische Gewerbeanmeldung oder eine Überprüfung im Ausland.
Der obligatorische Kontotyp für die WeChat WiFi-Anmeldung. Abonnement-Konten können für diesen Zweck nicht verwendet werden.
OpenID
Eine eindeutige Kennung, die von WeChat einem bestimmten Benutzer für ein bestimmtes offizielles Konto zugewiesen wird. Zwei verschiedene offizielle Konten erhalten unterschiedliche OpenIDs für denselben Benutzer.
Der primäre Schlüssel, der vom CRM verwendet wird, um einzelne Benutzer über WiFi-Sitzungen hinweg zu identifizieren und zu verfolgen.
Unionid
Eine eindeutige Kennung, die von WeChat einem bestimmten Benutzer für alle offiziellen Konten und Mini-Programme zugewiesen wird, die unter demselben WeChat Open-Platform-Konto registriert sind. Ermöglicht die produktübergreifende Benutzererkennung.
Relevant für Marken mit mehreren WeChat-Touchpoints (z. B. eine Einzelhandelskette mit sowohl einem WiFi-Portal als auch einem Shopping-Mini-Programm), die das Benutzerprofil über alle Interaktionen hinweg vereinheitlichen möchten.
MAC-Adressen-Caching
Eine Netzwerkfunktion, die die eindeutige Hardware-Kennung (MAC-Adresse) eines Geräts nach der ersten Authentifizierung speichert, sodass das Netzwerk bei nachfolgenden Verbindungen automatisch den Zugriff gewähren kann, ohne das Captive Portal erneut anzuzeigen.
Wird verwendet, um das Erlebnis für wiederkehrende Besucher zu verbessern. Purple protokolliert den wiederkehrenden Besuch für Analysen, selbst wenn das Portal nicht angezeigt wird.
Captive Portal Assistant (CPA)
Der Mini-Browser, der automatisch von iOS und Android gestartet wird, wenn sie ein Netzwerk erkennen, das eine Captive Portal-Authentifizierung erfordert. CPAs haben eine eingeschränkte Funktionalität und unterstützen möglicherweise keine nativen App-Aufrufe, die für den WeChat OAuth-Flow erforderlich sind.
IT-Teams müssen den WeChat-Anmeldeflow speziell innerhalb der CPA-Umgebung testen und eine JavaScript-Erkennung implementieren, um bei Bedarf auf den vollständigen Systembrowser umzuleiten.
VLAN
Virtual Local Area Network. Ein logisches Netzwerksegment, das den Datenverkehr von anderen Segmenten auf derselben physischen Infrastruktur isoliert. Wird verwendet, um den WiFi-Datenverkehr für Gäste vom Unternehmens- oder POS-Netzwerk zu trennen.
RADIUS-Attribute, die von Purple zurückgegeben werden, können WeChat-authentifizierte Gäste einem bestimmten VLAN zuweisen und so die PCI-DSS-Netzwerksegmentierungsanforderungen erfüllen.
Ausgearbeitete Beispiele
Eine Luxus-Einzelhandelsmarke in London möchte chinesischen Touristen nahtloses WiFi anbieten und gleichzeitig die Zahl der Follower auf ihrem WeChat Official Account erhöhen. Sie nutzt derzeit Cisco Meraki Access Points und ein Standardportal zur E-Mail-Erfassung. Ihr IT-Team hat zwei Wochen Zeit für die Bereitstellung vor einer großen Kampagne zum chinesischen Neujahrsfest.
Woche eins: Registrieren und verifizieren Sie ein WeChat Service Account, falls noch nicht vorhanden (planen Sie zwei bis vier Wochen für die Tencent-Genehmigung ein - falls dieser Schritt nicht bereits begonnen hat, nutzen Sie eine verifizierte chinesische Drittanbieter-Entität als Übergangsmaßnahme). Konfigurieren Sie die WeChat-Entwicklerkonsole mit der Callback-Domain, die der Purple-Portal-URL entspricht. Aktivieren Sie auf der Purple-Plattform den WeChat-Social-Login, geben Sie die AppID und das AppSecret ein und gestalten Sie die Splash-Page mit WeChat als primärer Login-Option. Konfigurieren Sie die Weiterleitung nach der Authentifizierung auf die Follow-Seite des WeChat Official Accounts der Marke. Woche zwei: Aktualisieren Sie im Meraki-Dashboard die Gäste-SSID so, dass sie auf die Purple-Portal-URL verweist. Fügen Sie alle WeChat-API-Domains zur Meraki Walled Garden-Liste unter Wireless > Access Control hinzu. Richten Sie die RADIUS-Serverdetails ein. Testen Sie den gesamten Ablauf von einem iOS- und Android-Gerät aus. Aktivieren Sie das MAC-Caching für eine 30-tägige Wiederkehrerkennung. Gehen Sie live.
Ein Stadion mit einer Kapazität von 15.000 Zuschauern veranstaltet eine Reihe internationaler Events mit zahlreichen chinesischsprachigen Besuchern. Der IT-Leiter berichtet, dass 35 % der Gäste das WiFi-Anmeldeformular vor dem Ausfüllen abbrechen. Das Netzwerk läuft über HPE Aruba Access Points, die über Aruba Central verwaltet werden.
Stellen Sie das Captive Portal von Purple mit WeChat als primärer Social-Login-Option neben E-Mail- und SMS-Fallbacks bereit. Konfigurieren Sie das Aruba Central Captive Portal-Profil so, dass es auf Purple weiterleitet, und fügen Sie WeChat-Domains zur Liste der erlaubten Domains hinzu. Implementieren Sie ein JavaScript-CPA-Erkennungsskript auf der Splash-Page, um den OAuth-Ablauf in den nativen Systembrowser zu zwingen und den Aruba-CPA-Minibrowser zu umgehen. Konfigurieren Sie RADIUS-Attribute, um authentifizierte Fans einem dedizierten Gäste-VLAN zuzuweisen, das vom betrieblichen Netzwerk des Stadions isoliert ist. Stellen Sie das Sitzungs-Timeout auf vier Stunden ein, um eine typische Event-Dauer abzudecken, ohne dass eine erneute Authentifizierung erforderlich ist. Leiten Sie die Fans nach der Authentifizierung zu einem WeChat-Mini-Programm weiter, das das Event-Programm, Live-Ergebnisse und einen Service zur Essensbestellung bereitstellt.
Übungsfragen
Q1. Die neue WeChat WiFi-Anmeldung Ihres Standorts schlägt fehl. Gäste tippen auf die WeChat-Schaltfläche auf der Begrüßungsseite, aber das Zeitlimit der Seite wird überschritten, bevor sich die WeChat-App öffnet. Das Cisco Meraki-Dashboard zeigt an, dass die SSID online ist und die Purple Portal-URL korrekt konfiguriert ist. Was ist die wahrscheinlichste Ursache und wie beheben Sie das Problem?
Hinweis: Überlegen Sie, welchen Netzwerkzugriff das Gerät hat, bevor es die Authentifizierung abschließt.
Musterlösung anzeigen
Der Walled Garden auf der Meraki SSID ist falsch konfiguriert. Das Gerät kann die API-Domains von WeChat vor der Authentifizierung nicht erreichen, sodass der OAuth-Handshake nicht initiiert werden kann. Lösung: Navigieren Sie im Meraki-Dashboard zu Wireless > Access Control, suchen Sie den Bereich Walled Garden und fügen Sie die erforderlichen WeChat-Domains hinzu, einschließlich *.weixin.qq.com, *.wechat.com und *.wx.qq.com. Testen Sie den Vorgang, indem Sie den Anmeldefluss erneut von einem Gerät aus versuchen, das zuvor noch nicht mit der SSID verbunden war.
Q2. Ein Marketingleiter möchte sein bestehendes WeChat-Abonnementkonto (订阅号) für die WiFi-Anmeldung nutzen, da es die tägliche Veröffentlichung von Artikeln für Follower ermöglicht. Sie werden gebeten, die Integration zu konfigurieren. Wie reagieren Sie?
Hinweis: Überprüfen Sie die API-Zugriffsebenen für die verschiedenen WeChat-Kontotypen.
Musterlösung anzeigen
Weisen Sie darauf hin, dass ein Abonnementkonto nicht für die WiFi-Authentifizierung verwendet werden kann. Die für die Integration des Captive Portal erforderlichen OAuth 2.0-Webseiten-Autorisierungs-APIs stehen nur verifizierten Service-Konten (服务号) zur Verfügung. Es muss ein Service-Konto registriert werden. Dies erfordert eine chinesische Geschäftslizenz oder eine Bewerbung aus dem Ausland über das spezielle Verfahren von Tencent, was zwei bis vier Wochen dauert und jährlich 99 $ kostet. Das Abonnementkonto kann für die Veröffentlichung von Inhalten aktiv bleiben; die beiden Kontotypen dienen unterschiedlichen Zwecken und können koexistieren.
Q3. Nach einer erfolgreichen WeChat-WiFi-Einführung stellt das IT-Team fest, dass Benutzer, die sich vor drei Wochen authentifiziert haben, nicht mehr mit aktualisierten Besuchsdaten im CRM erscheinen, obwohl sie sich mit dem Netzwerk verbinden. Was ist die wahrscheinliche Ursache?
Hinweis: Berücksichtigen Sie die in Purple konfigurierten Einstellungen für die Sitzungsverwaltung und die Dauer des MAC-Caches.
Musterlösung anzeigen
Die Dauer des MAC-Caches ist wahrscheinlich auf einen Wert von weniger als drei Wochen eingestellt (z. B. 14 Tage), sodass wiederkehrenden Benutzern der Zugriff über den MAC-Cache gewährt wird, ohne dass ein neues Authentifizierungsereignis oder ein CRM-Update ausgelöst wird. Alternativ ist das WeChat-Zugriffstoken für diese Benutzer abgelaufen und die Plattform aktualisiert es nicht. Lösung: Verlängern Sie die Dauer des MAC-Caches in den Einstellungen für wiederkehrende Besucher von Purple auf 30 Tage und stellen Sie sicher, dass die Konfiguration zur Token-Aktualisierung aktiv ist. Vergewissern Sie sich auch, dass Purple über den MAC-Cache vermittelte Besuche als wiederkehrende Besuchsereignisse im Analytics-Dashboard protokolliert, selbst wenn das Portal nicht angezeigt wird.
Q4. Ihr Standort befindet sich sowohl im Vereinigten Königreich als auch in Festlandchina. Sie möchten ein einheitliches WeChat-WiFi-Authentifizierungssystem bereitstellen. Welche Compliance-Verpflichtungen müssen Sie vor der Inbetriebnahme erfüllen?
Hinweis: Für die beiden Regionen gelten zwei unterschiedliche Datenschutzbestimmungen.
Musterlösung anzeigen
Sie müssen sowohl die GDPR (anwendbar auf Benutzer im Vereinigten Königreich und in der EU) als auch das chinesische Gesetz zum Schutz persönlicher Daten (PIPL, anwendbar auf Benutzer in Festlandchina) einhalten. Zu den wichtigsten Anforderungen gehören: Anzeige eines klaren Datenschutzhinweises auf der Splash-Page vor dem Start des OAuth-Flusses, Identifizierung des Datenverantwortlichen und Auflistung der von WeChat erfassten Datenkategorien, Angabe der Rechtsgrundlage für die Verarbeitung gemäß der jeweiligen Gesetzgebung (berechtigte Interessen oder Einwilligung gemäß GDPR; Einwilligung gemäß PIPL), Bereitstellung eines Mechanismus, mit dem Benutzer ihre Einwilligung widerrufen und die Löschung verlangen können, sowie die Sicherstellung, dass Mechanismen für den Datentransfer vorhanden sind, falls WeChat-Profildaten zwischen den Gerichtsbarkeiten fließen. Konsultieren Sie den Leitfaden zur GDPR-Konformität von Purple und Ihren Rechtsbeistand für länderspezifische Anforderungen.
Weiterlesen in dieser Reihe
Captive Portal für Ruijie: Einrichtung mit Purple Gäste-WiFi
Wie das Cloud-Gäste-WiFi von Purple über Web-Authentifizierung und RADIUS auf Ruijie RG Series Access Points aufsetzt, konfiguriert über die Befehlszeile, und wo Sie die genauen Einrichtungsschritte finden.
B2B Captive Portals gestalten: Erfassung von registrierten Namen und Unternehmensdaten
Dieser Leitfaden bietet IT-Managern und Betreibern von Veranstaltungsorten ein herstellerneutrales technisches Framework für das Design von B2B Captive Portals. Er beschreibt im Detail, wie Registrierungsfelder strukturiert werden sollten, um registrierte Namen und Unternehmensdaten zu erfassen, um hohe Ausfüllraten zu gewährleisten, während gleichzeitig die GDPR-Konformität gewahrt und Account-Level-Intelligence aufgebaut wird.
Captive Portal Architektur: Sicherheit, Umleitung und Best Practices
Ein definitives technisches Referenzdokument zur Captive Portal-Architektur in Unternehmen. Dieser Leitfaden beleuchtet Netzwerkisolierung, DNS-Umleitung, RADIUS-Authentifizierung und Sicherheitskonformität für IT-Entscheider, die sichere, datenreiche Gäste-WiFi-Netzwerke bereitstellen.