Integration des WeChat WiFi-Logins: Interaktionen über Social Captive Portals erfassen

Dieser Leitfaden beschreibt detailliert, wie Sie die WeChat WiFi-Authentifizierung in Captive Portals von Unternehmen integrieren. Er behandelt die OAuth 2.0-Architektur, die RADIUS-Integration und die schrittweise Bereitstellung auf Hardware von Cisco Meraki, HPE Aruba und Juniper Mist. IT-Manager und Netzwerkarchitekten erhalten ein praktisches Framework, um First-Party-Daten von den 1,3 Milliarden WeChat-Nutzern zu erfassen und gleichzeitig die Interaktion durch das Folgen von Official Accounts und Weiterleitungen nach dem Login zu fördern.

📖 8 Min. Lesezeit📝 1,875 Wörter🔧 2 ausgearbeitete Beispiele❓ 4 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zum Purple Technical Briefing. Ich bin Ihr Moderator, und heute befassen wir uns eingehend mit einer entscheidenden Integration für Veranstaltungsorte, die das Engagement einer riesigen Zielgruppe gewinnen möchten: Die Integration des WeChat WiFi-Logins über Social Captive Portals.

Wenn Sie IT-Manager, Netzwerkarchitekt oder Betriebsleiter in einem Hotel, einer Einzelhandelskette oder einem öffentlichen Veranstaltungsort sind, kennen Sie die Herausforderung. Sie möchten reibungsloses Gäste-WiFi anbieten, aber Ihr Marketingteam verlangt First-Party-Daten. Manuelle Registrierungsformulare führen zu Absprüngen, und generische Social Logins treffen bei internationalen Besuchern nicht immer den richtigen Ton – insbesondere bei Gästen aus China, wo WeChat das dominierende digitale Ökosystem ist.

Hier kommt die WeChat WiFi-Authentifizierung ins Spiel. Sie verwandelt ein standardmäßiges Captive Portal in ein strategisches Tool zur Datenerfassung. Heute werden wir die technische Architektur, die Implementierungsschritte und die häufigsten Fallstricke, die Sie vermeiden müssen, aufschlüsseln.

Beginnen wir mit der Architektur. Wie funktioniert das eigentlich?

Die WeChat WiFi-Authentifizierung ersetzt die herkömmliche manuelle Formulareingabe durch einen OAuth 2.0-Flow, der direkt in das Captive Portal-Erlebnis integriert ist. Wenn sich ein Gast mit Ihrem WiFi-Netzwerk verbindet, fängt Ihr Access Point oder Wireless LAN Controller den Datenverkehr ab und leitet den Benutzer zu einem Captive Portal weiter, das auf der Purple Cloud-Plattform gehostet wird.

Anstatt eine E-Mail-Adresse einzugeben, wählt der Benutzer die WeChat-Login-Option. Dies löst einen API-Aufruf an die offene WeChat-Plattform aus. Der Benutzer autorisiert die Verbindung innerhalb seiner WeChat-App, und WeChat gibt ein Access-Token und Benutzerprofildaten – wie OpenID, UnionID, Spitzname und Avatar – an die Purple-Plattform zurück.

Purple signalisiert dann Ihrem RADIUS-Server, eine Access-Accept-Nachricht an Ihre Netzwerkhardware zu senden, wodurch der Internetzugang gewährt und alle konfigurierten Richtlinien wie Bandbreitenbegrenzungen oder VLAN-Zuweisungen angewendet werden. Es ist ein nahtloser, sicherer Handshake zwischen fünf verschiedenen Systemen, der aus Sicht des Benutzers in weniger als drei Sekunden abläuft.

Was benötigen Sie nun, um dies zu realisieren? Es gibt vier Schlüsselkomponenten.

Erstens: Das offizielle WeChat-Konto. Sie müssen über ein verifiziertes WeChat-Service-Konto verfügen, im Chinesischen als Fuwuhao bekannt. Abonnement-Konten fehlen die erforderlichen API-Berechtigungen für die OAuth-Integration. Dies ist eine zwingende Voraussetzung. Das Service-Konto stellt die für die API-Kommunikation erforderliche AppID und das AppSecret bereit.

Zweitens: Das Captive Portal selbst. Dies ist die gebrandete Splash-Page, die die Sitzung abfängt und den WeChat-Login-Button anzeigt. Sie muss mobiloptimiert sein und in der Lage sein, die OAuth-Redirect-URI korrekt zu verarbeiten.

Drittens: Identity and Access Management. Die Purple-Plattform fungiert hier als Vermittler, der den OAuth-Token-Austausch verwaltet, die WeChat-Profildaten Ihrem CRM zuordnet und die RADIUS-Kommunikation abwickelt. Dies ist die intelligente Ebene, die das WeChat-Ökosystem mit Ihrer Netzwerkinfrastruktur verbindet.

Und viertens: Ihre Netzwerk-Hardware. Enterprise Access Points von Anbietern wie Cisco Meraki, HPE Aruba oder Juniper Mist, die so konfiguriert sind, dass sie nicht authentifizierten Datenverkehr auf das externe Captive Portal umleiten und RADIUS-Autorisierungsattribute erzwingen.

Wie setzen wir das also um? Es ist ein dreistufiger Prozess.

Schritt Eins: Konfigurieren Sie den WeChat-Entwickler-Account. Sie müssen die OAuth 2.0-Webseiten-Autorisierungsfunktion in der WeChat Official Account Platform aktivieren. Registrieren Sie die Domain Ihres Captive Portals als autorisierte Callback-Domain. Dies stellt sicher, dass WeChat Autorisierungscodes nur an Ihre vertrauenswürdige Infrastruktur zurückgibt. Rufen Sie anschließend Ihre AppID und Ihr AppSecret ab.

Schritt Zwei: Konfigurieren Sie die Purple-Plattform. Navigieren Sie zur Konfiguration der Authentifizierungsmethoden, aktivieren Sie den WeChat Social Login und geben Sie Ihre AppID und Ihr AppSecret ein. Gestalten Sie Ihre Splash Page so, dass der WeChat-Login gut sichtbar ist. Und ganz wichtig: Konfigurieren Sie Ihre Weiterleitungen nach der Authentifizierung. Leiten Sie Benutzer nicht einfach auf eine generische Erfolgsseite weiter. Leiten Sie sie auf Ihr WeChat Official Account-Profil weiter, um Follows zu fördern, oder auf eine zielgerichtete Werbe-Landingpage.

Schritt Drei: Konfiguration der Netzwerkinfrastruktur. Konfigurieren Sie auf Ihrem Wireless-Controller die Gäste-SSID für die externe Captive Portal-Authentifizierung. Geben Sie die URL des Purple Captive Portals ein. Und hier ist der wichtigste Konfigurationsschritt: Richten Sie die Walled Garden- bzw. Whitelist-Einträge ein. Sie müssen die WeChat-API-Domains und -IP-Bereiche auf die Whitelist setzen, damit das Gerät des Benutzers mit WeChat kommunizieren kann, bevor es vollständig im Netzwerk authentifiziert ist. Wenn Sie diesen Schritt auslassen, funktioniert der gesamte Ablauf nicht.

Lassen Sie uns nun über Best Practices und Fehlerbehebung sprechen. Was kann schiefgehen und wie vermeiden Sie es?

Ich habe gerade den Walled Garden erwähnt. Ein falsch konfigurierter Walled Garden ist die Ursache Nummer eins für fehlgeschlagene WeChat-Logins in Produktivumgebungen. Wenn das Gerät die Server von WeChat vor der Authentifizierung nicht erreichen kann, kann der OAuth-Ablauf nicht gestartet werden. Stellen Sie sicher, dass alle erforderlichen WeChat-Domains vor der Authentifizierung zugänglich sind. Testen Sie dies gründlich, bevor Sie live gehen.

Ein weiteres häufiges Problem ist ein OAuth Redirect Mismatch. Wenn die in WeChat registrierte Callback-URL nicht exakt mit der URL Ihres Captive Portals übereinstimmt, blockiert WeChat die Autorisierung. Protokolle und Subdomains müssen perfekt übereinstimmen. HTTPS versus HTTP, mit oder ohne abschließenden Schrägstrich – diese Details sind entscheidend.

Achten Sie auch auf Störungen durch den Captive Portal Assistant. Mobile Betriebssysteme nutzen diese Mini-Browser, um Captive-Netzwerke zu verwalten, aber ihnen fehlt oft der volle Funktionsumfang, was den Aufruf der WeChat-App stören kann. Möglicherweise müssen Sie ein JavaScript-Erkennungsskript implementieren, um den Login im nativen Systembrowser zu erzwingen.

Nutzen Sie strategisch das Engagement nach dem Login. Bewegen Sie die Benutzer dazu, Ihrem Official Account zu folgen, auf einen Indoor-Plan zuzugreifen oder eine digitale Speisekarte anzusehen. Halten Sie sie innerhalb des WeChat-Ökosystems aktiv.

Und zum Thema Datenminimierung: Fordern Sie nur die WeChat-Profildaten an, die für Ihre Marketingziele erforderlich sind. Das übermäßige Anfordern von Berechtigungen erhöht die Absprungraten und verkompliziert die Einhaltung von Datenschutzvorschriften.

Apropos Compliance: Die Erfassung von Daten über WeChat muss den regionalen Datenschutzgesetzen entsprechen, einschließlich der GDPR in Europa und dem Gesetz zum Schutz persönlicher Daten in China. Stellen Sie sicher, dass die Nutzungsbedingungen Ihres Captive Portals klar formulieren, welche Daten erfasst, wie sie verwendet und an wen sie weitergegeben werden. Implementieren Sie explizite Einwilligungsmechanismen, bevor Sie den OAuth-Flow starten.

Nun zu einer schnellen Fragerunde zu den Fragen, die wir am häufigsten hören.

Frage: Kann ich ein WeChat-Abonnement-Konto verwenden? Nein. Sie benötigen ein verifiziertes Service-Konto. Punkt.

Frage: Muss ich WeChat-Domains auf jedem Access Point auf die Whitelist setzen? Ja. Der Walled Garden muss auf SSID-Ebene auf dem Wireless-Controller konfiguriert werden.

Frage: Wie lange hält WeChat den Access Token gültig? WeChat-Access-Tokens laufen nach zwei Stunden ab. Stellen Sie sicher, dass Ihre Plattform so konfiguriert ist, dass sie diese automatisch aktualisiert.

Frage: Welche Daten erhalte ich tatsächlich von WeChat? Sie erhalten die OpenID des Nutzers, seine UnionID, wenn er mehrere Apps autorisiert hat, seinen Spitznamen, die URL des Profilbilds sowie seine registrierte Stadt und sein Land. Sie erhalten die Telefonnummer oder E-Mail-Adresse nicht direkt von WeChat.

Zusammenfassend sind hier die fünf wichtigsten Erkenntnisse aus dem heutigen Briefing.

Erstens: Die WeChat-WiFi-Authentifizierung nutzt OAuth 2.0, um die manuelle Formulareingabe durch einen Single-Tap-Login zu ersetzen, was die Abschlussraten um 20 bis 30 Prozent erhöht.

Zweitens: Ein verifiziertes WeChat-Service-Konto ist zwingend erforderlich. Abonnement-Konten funktionieren nicht.

Drittens: Die Walled-Garden-Konfiguration auf Ihren Access Points ist der kritischste und am häufigsten übersehene Schritt.

Viertens: Weiterleitungen nach der Authentifizierung zu Ihrem offiziellen Konto verwandeln flüchtige Besucher in langfristige digitale Follower.

Und fünftens: Stellen Sie sicher, dass Ihre Einwilligungs- und Datenschutzhinweise sowohl die GDPR- als auch die PIPL-Anforderungen abdecken, bevor Sie live gehen.

Das war das technische Briefing zur Integration des WeChat-WiFi-Logins. Weitere Informationen zu Gast-WiFi-Strategien, Analysen und Compliance finden Sie auf purple dot ai. Vielen Dank fürs Zuhören.

Wichtigste Erkenntnisse

✓Die WeChat WiFi-Authentifizierung nutzt OAuth 2.0, um manuelle Captive Portal-Formulare durch einen Single-Tap-Login zu ersetzen, was die Abschlussraten um 20-30 % erhöht (interne Daten von Purple, 2024).
✓Ein verifiziertes WeChat Service Account (服务号) ist zwingend erforderlich. Subscription Accounts können nicht auf die erforderlichen OAuth-APIs zugreifen.
✓Die Konfiguration des Walled Garden auf den Access Points zur Freigabe der WeChat API-Domains ist der kritischste und am häufigsten übersehene Bereitstellungsschritt.
✓Purple fungiert als OAuth-Vermittler, ordnet WeChat-Profildaten (OpenID, unionid, Nickname) dem CRM des Standorts zu und signalisiert RADIUS, den Netzwerkzugriff freizugeben.
✓Weiterleitungen nach der Authentifizierung auf die WeChat Official Account-Folgenseite verwandeln flüchtige WiFi-Nutzer in langfristige digitale Follower, die über Push-Benachrichtigungen erreichbar sind.
✓Das Caching von MAC-Adressen eliminiert wiederholte Login-Hürden für wiederkehrende Besucher, während der Besuch weiterhin in der Analyseplattform erfasst wird.
✓Bereitstellungen müssen sowohl der GDPR als auch dem chinesischen PIPL entsprechen; eine ausdrückliche Zustimmung muss eingeholt werden, bevor der OAuth-Flow startet.

Executive Summary

Die Integration des WeChat WiFi-Logins verwandelt ein standardmäßiges Captive Portal in eine strategische First-Party-Datenquelle für Standorte, die chinesische Besucher und das breitere WeChat-Ökosystem bedienen. Für IT-Manager und Netzwerkarchitekten erfordert die Bereitstellung des WeChat-Logins über OAuth 2.0 und RADIUS ein ausgewogenes Verhältnis zwischen reibungslosem Gastzugang und sicherer, konformer Datenerfassung. Dieser Leitfaden beschreibt die technische Architektur, die Implementierungsschritte und die Sicherheitsaspekte für die Bereitstellung der WeChat WiFi-Authentifizierung in Unternehmensnetzwerken auf Hardware wie Cisco Meraki, HPE Aruba, Ruckus und Juniper Mist. Er zeigt, wie die Guest WiFi -Plattform von Purple den OAuth-Flow vermittelt, Profildaten Ihrem CRM zuordnet und das Engagement über Post-Login-Weiterleitungen zu Ihrem WeChat Official Account steigert.

WeChat hat über 1,3 Milliarden monatlich aktive Nutzer, wobei chinesische Touristen im Jahr 2023 schätzungsweise 255 Milliarden US-Dollar international ausgaben (Daten der Welttourismusorganisation). Für Hotels, Luxuseinzelhandel, Flughäfen und Konferenzzentren ist das Angebot eines WeChat WiFi-Logins ein direkter Kanal zu dieser Zielgruppe. Purple ist an über 80.000 Live-Standorten im Einsatz und verzeichnete im Jahr 2024 440 Millionen Logins, was uns einen direkten Einblick in das gibt, was in Produktionsumgebungen funktioniert und was nicht.

Technischer Deep-Dive

Wie die WeChat WiFi-Authentifizierung funktioniert

Die WeChat WiFi-Authentifizierung ersetzt die manuelle Formulareingabe durch einen OAuth 2.0-Flow, der direkt in das Captive Portal-Erlebnis integriert ist. Die Sequenz umfasst fünf Komponenten, die in einer definierten Reihenfolge kommunizieren:

Das Gerät des Gastes verbindet sich mit der SSID des Standorts.
Der Access Point fängt unauthentifizierten HTTP-Traffic ab und leitet das Gerät an das von Purple gehostete Captive Portal weiter.
Der Benutzer wählt auf der Splash Page die Option für den WeChat-Login.
Das Portal initiiert eine OAuth 2.0-Autorisierungsanfrage an die WeChat Open Platform API und übergibt die AppID des Standorts sowie eine Redirect-URI.
Die WeChat-App öffnet sich auf dem Gerät und fordert den Benutzer auf, die Verbindung zu autorisieren.
WeChat gibt einen Autorisierungscode an die Redirect-URI zurück.
Die Purple-Plattform tauscht den Code gegen ein Access Token aus und ruft die Profildaten des Benutzers ab: OpenID, unionid, Nickname, Avatar und registrierter Standort.
Purple signalisiert dem RADIUS-Server, eine Access-Accept-Nachricht an den Access Point zu senden.
Der Access Point gewährt Internetzugang und wendet die konfigurierten Richtlinien an (VLAN-Zuweisung, Bandbreitenbegrenzung, Sitzungs-Timeout).
Das Portal leitet den Benutzer zum WeChat Official Account des Standorts oder zu einer zielgerichteten Landingpage weiter.

Anforderungen an den Account-Typ

Dies ist die mit Abstand häufigste Fehlerquelle bei WeChat WiFi-Bereitstellungen. Sie müssen ein verifiziertes WeChat Service Account (服务号) verwenden. Subscription Accounts (订阅号) stellen die für die Captive Portal-Integration erforderlichen OAuth 2.0-Webseiten-Autorisierungs-APIs nicht zur Verfügung. Die folgende Tabelle fasst die wichtigsten Unterschiede zusammen:

Feature	Service Account (服务号)	Subscription Account (订阅号)
OAuth 2.0 WiFi-Login	Ja	Nein
API-Zugriffsebene	Vollständig	Eingeschränkt
Push-Nachrichten pro Monat	4	30
Erscheint als Kontakt	Ja	In Ordner gruppiert
WeChat Pay-Integration	Ja	Nein
Verifizierung erforderlich	Ja	Ja

Um ein verifiziertes Service Account zu erhalten, ist eine chinesische Geschäftslizenz oder ein spezielles Antragsverfahren für Übersee-Unternehmen über Tencent erforderlich. Hierfür fällt eine jährliche Verifizierungsgebühr von 99 $ an, und die Bearbeitungszeit beträgt zwei bis vier Wochen.

Das Walled Garden: Die kritischste Netzwerkkonfiguration

Ein Walled Garden (auch als Pre-Authentication-Whitelist bezeichnet) definiert, welche IP-Adressen und Domains ein Gerät erreichen kann, bevor es die Captive Portal-Authentifizierung abgeschlossen hat. Wenn die WeChat-API-Domains nicht im Walled Garden hinterlegt sind, kann das Gerät den OAuth-Handshake nicht initiieren, und der Login schlägt geräuschlos fehl.

Es müssen mindestens die folgenden Domains auf die Whitelist gesetzt werden:

*.weixin.qq.com
*.wechat.com
*.wx.qq.com
res.wx.qq.com
mp.weixin.qq.com
WeChat CDN IP-Bereiche (konsultieren Sie die von Tencent veröffentlichte Dokumentation der IP-Bereiche, da sich diese regelmäßig ändern)

Konfigurieren Sie diese bei Cisco Meraki unter Wireless > Access Control > Walled Garden. Verwenden Sie bei HPE Aruba die Whitelist des Captive Portal Profile. Konfigurieren Sie bei Juniper Mist die Liste der zulässigen Domains für das Guest Portal.

RADIUS-Integration und Richtliniendurchsetzung

Purple fungiert in dieser Architektur als RADIUS-Proxy. Nach einem erfolgreichen WeChat-OAuth-Austausch sendet Purple eine RADIUS-Access-Accept-Nachricht an den Wireless-Controller des Standorts. Die Access-Accept-Nachricht kann Standard-RADIUS-Attribute enthalten, um benutzerspezifische Richtlinien durchzusetzen:

Tunnel-Type und Tunnel-Private-Group-ID für die VLAN-Zuweisung (Isolierung des Gast-Traffics von Unternehmensnetzwerken gemäß den Best Practices für die Segmentierung nach IEEE 802.1X)
Session-Timeout für die automatische Trennung nach einem definierten Zeitraum
WISPr-Bandwidth-Max-Up und WISPr-Bandwidth-Max-Down für die Bandbreitenbegrenzung

Diese Architektur ist hardwareunabhängig. Purple lässt sich ohne Firmware-Änderungen oder zusätzliche Server vor Ort in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren.

Implementierungsleitfaden

Schritt 1: WeChat-Entwickler-Account konfigurieren

Melden Sie sich auf der WeChat Official Account Platform unter mp.weixin.qq.com an. Navigieren Sie zu Settings > Security Centre > Webpage Authorisation. Aktivieren Sie die OAuth 2.0-Webseiten-Autorisierung und fügen Sie Ihre Captive Portal-Domain als autorisierte Callback-Domain hinzu (z. B. wifi.yourvenue.com). WeChat gibt Autorisierungscodes nur an hier registrierte Domains zurück – eine Abweichung führt zu einem lautlosen Fehler.

Rufen Sie Ihre AppID und Ihr AppSecret im Bereich Development > Basic Configuration ab. Speichern Sie das AppSecret sicher; behandeln Sie es wie einen privaten Schlüssel.

Schritt 2: Purple konfigurieren

Navigieren Sie im Purple-Portal zu Authentication > Social Login und aktivieren Sie WeChat. Geben Sie die AppID und das AppSecret ein. Gestalten Sie die Splash-Page des Captive Portals mit dem Drag-and-Drop-Editor von Purple. Platzieren Sie den WeChat-Login-Button als primären Call-to-Action im direkt sichtbaren Bereich (above the fold).

Konfigurieren Sie die Weiterleitung nach der Authentifizierung. Zu den Optionen gehören:

Die Follow-Seite des WeChat Official Accounts des Standorts (empfohlen für Kundenbindung)
Eine Werbe-Landingpage, die in einem WeChat Mini Program gehostet wird
Eine Umfrageseite mit den WiFi Analytics -Tools von Purple
Eine Anmeldeseite für ein Treueprogramm

Aktivieren Sie das MAC-Adressen-Caching unter Authentication > Return Visitor Settings. Stellen Sie die Cache-Dauer so ein, dass sie Ihrer typischen Besuchshäufigkeit entspricht (sieben Tage für den Einzelhandel, 30 Tage für das Gastgewerbe). Wiederkehrende Besucher verbinden sich automatisch, ohne das Portal erneut zu sehen, während ihr Besuch weiterhin im Analytics-Dashboard protokolliert wird.

Schritt 3: Die Netzwerkhardware konfigurieren

Konfigurieren Sie auf Ihrem Wireless-Controller die Gäste-SSID so, dass sie ein externes Captive Portal verwendet. Geben Sie die URL des Purple-Portals als Splash-Page-URL ein. Fügen Sie die WeChat-Domains zum Walled Garden hinzu. Richten Sie die von Purple bereitgestellten RADIUS-Server-IP-Adressen und Shared Secrets ein.

Testen Sie den gesamten Ablauf von einem Mobilgerät aus, bevor Sie live gehen. Gehen Sie dabei wie folgt vor:

Verbinden Sie sich mit der Gäste-SSID.
Bestätigen Sie, dass das Captive Portal im Mini-Browser des Captive Portal Assistant (CPA) geladen wird.
Tippen Sie auf den WeChat-Login-Button und bestätigen Sie, dass sich die WeChat-App öffnet.
Autorisieren Sie die Verbindung und bestätigen Sie, dass der Internetzugang gewährt wird.
Bestätigen Sie, dass die Weiterleitung nach dem Login korrekt funktioniert.

Best Practices

Optimieren Sie den Walled Garden. Ein falsch konfigurierter Walled Garden ist die häufigste Ursache für fehlgeschlagene WeChat-Logins in der Praxis. Testen Sie ihn vor dem Start und erneut nach jedem Netzwerk-Firmware-Update, da einige Controller Whitelist-Einträge bei Upgrades zurücksetzen.

Nutzen Sie die Interaktion nach dem Login. Der Moment direkt nach der Authentifizierung ist der Punkt mit der höchsten Aufmerksamkeit während der Nutzung des Gäste-WiFi. Leiten Sie Benutzer auf die Follow-Seite Ihres Official Accounts weiter. Ein Gast, der Ihrem Account folgt, ist auch lange nach dem Verlassen des Standorts über Push-Benachrichtigungen erreichbar. Implementieren Sie MAC-Caching für wiederkehrende Besucher. Eine erneute Authentifizierung bei jedem Besuch beeinträchtigt das Nutzererlebnis. MAC-Caching eliminiert diese Hürde für wiederkehrende Gäste, während der Besuch für Analysen weiterhin erfasst wird. Weitere Informationen zu Verweildauer und Berichten über wiederkehrende Besuche finden Sie unter Purple's WiFi Analytics .

Wenden Sie Datenminimierung an. Fordern Sie nur die WeChat-Profilfelder an, die Ihr CRM tatsächlich verwendet. Das Abfragen unnötiger Berechtigungen erhöht die Abbruchrate bei der Autorisierung und verkompliziert die GDPR-Compliance. Für die meisten Standorte reichen OpenID, Nickname und Avatar zur Personalisierung aus.

Segmentieren Sie den Gast-Traffic über VLAN. Weisen Sie über WeChat authentifizierte Gäste einem dedizierten VLAN zu, das von Ihrem Unternehmens- oder POS-Netzwerk isoliert ist. Dies erfüllt die PCI-DSS-Anforderungen zur Netzwerksegmentierung und begrenzt das Schadensausmaß bei etwaigen Sicherheitsvorfällen auf der Gästeseite. Eine vollständige Abhandlung zur WiFi-Sicherheitsarchitektur finden Sie in unserem Leitfaden für Enterprise-WiFi-Sicherheit .

Halten Sie GDPR und PIPL ein. Zeigen Sie einen klaren Datenschutzhinweis auf der Splash-Page an, bevor der Nutzer den WeChat-OAuth-Flow startet. Der Hinweis muss den Datenverantwortlichen nennen, die von WeChat erfassten Datenkategorien auflisten, die Rechtsgrundlage für die Verarbeitung angeben und einen Link zur vollständigen Datenschutzrichtlinie enthalten. Detaillierte Informationen finden Sie in unserem Leitfaden zur WiFi-GDPR-Compliance .

Fehlerbehebung & Risikominderung

OAuth-Redirect-Fehler

Wenn die in der WeChat-Entwicklerkonsole registrierte Callback-URL nicht exakt mit der von Purple für die Weiterleitung verwendeten URL übereinstimmt, gibt WeChat einen Fehlercode zurück und blockiert die Autorisierung. Prüfen Sie auf Protokoll-Abweichungen (HTTP vs. HTTPS), abschließende Schrägstriche und Unterschiede bei Subdomains. Die registrierte Domain muss eine exakte Zeichenfolgenübereinstimmung sein.

Interferenz durch den Captive Portal Assistant (CPA)

Mobile Betriebssysteme nutzen einen CPA-Mini-Browser, um Captive-Netzwerke zu erkennen und zu verwalten. Diesen Mini-Browsern fehlt oft die Fähigkeit, native Apps zu öffnen, was den WeChat-App-Aufruf im OAuth-Flow unterbricht. Zu den Maßnahmen zur Risikominderung gehören:

Implementierung einer JavaScript-Weiterleitung, die die CPA-Umgebung erkennt und den vollständigen Systembrowser öffnet, bevor der OAuth-Flow initiiert wird.
Anzeige einer klaren Anweisung auf der Splash-Page, die den Nutzer auffordert, die Seite in seinem vollständigen Browser zu öffnen, falls die WeChat-Schaltfläche nicht reagiert.

Token-Ablauf und veraltete Sitzungen

WeChat-Access-Tokens laufen nach zwei Stunden ab. Wenn Ihre Plattform das Token nicht aktualisiert, wird der CRM-Datensatz des Nutzers nach der ersten Sitzung nicht mehr aktualisiert. Konfigurieren Sie die Token-Aktualisierungseinstellungen von Purple, um aktive Tokens für die Dauer des Aufenthalts des Gastes aufrechtzuerhalten.

Geopolitische und regulatorische Risiken

WeChat unterliegt den Vorschriften der chinesischen Regierung und den Plattformrichtlinien von Tencent. Der API-Zugriff kann ohne vorherige Ankündigung gesperrt oder geändert werden. Minimieren Sie dieses Risiko, indem Sie sicherstellen, dass Ihr Captive Portal mehrere Authentifizierungsmethoden (E-Mail, SMS, andere Social Logins) unterstützt, damit ein Ausfall der WeChat-API nicht Ihr gesamtes Gäste-WiFi offline schaltet. Das Multi-Methoden-Portal von Purple unterstützt diese Fallback-Architektur nativ.

ROI & geschäftliche Auswirkungen

Die Bereitstellung der WeChat-WiFi-Authentifizierung liefert messbare Erträge in drei Bereichen.

Höhere Datenerfassungsrate. Social Login reduziert Reibungsverluste beim Ausfüllen von Formularen. Veranstaltungsorte, die die Social-Login-Optionen von Purple nutzen, berichten von 20-30 % höheren Authentifizierungsraten als bei vergleichbaren Portalen, die nur E-Mail-Abfragen nutzen (interne Purple-Daten, 2024). Bei einem Standort mit 500 Gäste-WiFi-Verbindungen pro Tag bedeutet eine Steigerung um 25 % täglich 125 zusätzlich erfasste, verifizierte Profile.

Follower-Wachstum für den Official Account. Die Weiterleitung authentifizierter Nutzer auf die Follow-Seite des Official Accounts verwandelt flüchtige Besucher in ein erreichbares digitales Publikum. Ein Hotel mit täglich 200 über WeChat authentifizierten Gästen, das eine Follow-Rate von 40 % erzielt, gewinnt täglich 80 neue Follower für seinen Official Account – Follower, die gezielte Push-Benachrichtigungen über Angebote für Wiederholungsbesuche, Updates zum Treueprogramm und saisonale Aktionen erhalten können.

Operative Transparenz. Die WiFi Analytics -Plattform von Purple verknüpft über WeChat authentifizierte Sitzungen mit Verweildauer, Besuchshäufigkeit und Bewegungsdaten auf Zonenebene. Dies liefert den Betriebsleitern von Veranstaltungsorten die Daten zur Optimierung von Personaleinsatz, Layout und dem Timing von Werbeaktionen. Für Betriebe im Gastgewerbe lassen sich diese Daten direkt in PMS-Systeme integrieren, um Gästeprofile anzureichern.

Für den Einzelhandel repliziert die Kombination aus WeChat-Authentifizierung und der Analytics-Plattform von Purple die Datentiefe des E-Commerce im physischen Geschäft – eine Funktion, die immer wertvoller wird, da der Wegfall von Drittanbieter-Cookies die Effektivität von digitalem Retargeting verringert.

Weitere Informationen finden Sie in unserem Leitfaden zur WiFi-GDPR-Konformität und unserem Leitfaden zur WiFi-Sicherheit in Unternehmen . Um zu erfahren, wie Purple in bestimmten Branchen eingesetzt wird, besuchen Sie unsere Seiten für das Gastgewerbe , den Einzelhandel , das Gesundheitswesen und das Transportwesen .

Schlüsseldefinitionen

OAuth 2.0

Ein Autorisierungsprotokoll nach Industriestandard, das es einem Benutzer ermöglicht, einer Drittanbieter-Anwendung Zugriff auf seine Kontodaten bei einem anderen Dienst zu gewähren, ohne sein Passwort zu teilen. Bei der WeChat-WiFi-Authentifizierung ist das Captive Portal die Drittanbieter-Anwendung und WeChat der Identitätsanbieter.

Der zugrunde liegende Mechanismus für alle Social-WiFi-Logins. IT-Teams stoßen darauf, wenn sie die AppID, das AppSecret und die Redirect-URI in der WeChat-Entwicklerkonsole und auf der Purple-Plattform konfigurieren.

Captive portal

Eine Webseite, die den Netzwerkverkehr eines Geräts abfängt und vom Benutzer verlangt, sich zu authentifizieren oder die Nutzungsbedingungen zu akzeptieren, bevor er Internetzugang erhält. Sie funktioniert, indem sie alle HTTP-Anfragen an die Portal-URL umleitet, bis die Authentifizierung abgeschlossen ist.

Die benutzerseitige Komponente des WeChat-WiFi-Loginsystems. Purple hostet und verwaltet das Captive Portal als Cloud-Overlay über der bestehenden Hardware des Standorts.

Walled garden

Eine Whitelist von IP-Adressen und Domains vor der Authentifizierung, die ein Gerät erreichen kann, bevor das Login über das Captive Portal abgeschlossen ist. Erforderlich, damit das Gerät während des OAuth-Flows mit den Authentifizierungsservern von WeChat kommunizieren kann.

Das am häufigsten falsch konfigurierte Element bei WeChat-WiFi-Bereitstellungen. Muss auf SSID-Ebene auf dem Wireless-Controller konfiguriert werden.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Abrechnung für den Netzwerkzugriff bereitstellt. Nach einem erfolgreichen WeChat-OAuth-Austausch sendet Purple eine RADIUS-Access-Accept-Nachricht an den Access Point, um den Internetzugang freizugeben.

Das Protokoll, das die Purple-Identitätsplattform mit der Netzwerkhardware des Standorts verbindet. IT-Teams konfigurieren RADIUS-Server-IP-Adressen und Shared Secrets im Wireless-Controller.

WeChat Service Account (服务号)

Eine Kategorie von WeChat-Official-Accounts für Unternehmen, die vollen API-Zugriff einschließlich OAuth 2.0-Webseitenautorisierung bietet. Erscheint als Kontakt in der Chat-Liste des Benutzers. Erfordert eine chinesische Gewerbeanmeldung oder eine Verifizierung im Ausland.

Der obligatorische Kontotyp für den WeChat-WiFi-Login. Abonnement-Konten können für diesen Zweck nicht verwendet werden.

OpenID

Eine eindeutige Kennung, die von WeChat einem bestimmten Benutzer für einen bestimmten Official Account zugewiesen wird. Zwei verschiedene Official Accounts erhalten für denselben Benutzer unterschiedliche OpenIDs.

Der Primärschlüssel, der vom CRM verwendet wird, um einzelne Benutzer über WiFi-Sitzungen hinweg zu identifizieren und zu verfolgen.

Unionid

Eine eindeutige Kennung, die von WeChat einem bestimmten Benutzer über alle Official Accounts und Mini-Programme hinweg zugewiesen wird, die unter demselben WeChat-Open-Platform-Konto registriert sind. Ermöglicht die produktübergreifende Benutzererkennung.

Relevant für Marken mit mehreren WeChat-Touchpoints (z. B. eine Einzelhandelskette mit sowohl einem WiFi-Portal als auch einem Shopping-Mini-Programm), die das Benutzerprofil über alle Interaktionen hinweg vereinheitlichen möchten.

MAC address caching

Eine Netzwerkfunktion, die die eindeutige Hardware-Kennung (MAC-Adresse) eines Geräts nach der ersten Authentifizierung speichert, sodass das Netzwerk bei nachfolgenden Verbindungen automatisch Zugriff gewähren kann, ohne das Captive Portal erneut anzuzeigen.

Wird verwendet, um das Erlebnis für wiederkehrende Besucher zu verbessern. Purple protokolliert den wiederkehrenden Besuch für Analysen, selbst wenn das Portal nicht angezeigt wird.

Captive Portal Assistant (CPA)

Der Mini-Browser, der von iOS und Android automatisch gestartet wird, wenn sie ein Netzwerk erkennen, das eine Captive Portal-Authentifizierung erfordert. CPAs haben eine eingeschränkte Funktionalität und unterstützen möglicherweise keine nativen App-Aufrufe, die für den WeChat-OAuth-Flow erforderlich sind.

IT-Teams müssen den WeChat-Login-Flow speziell innerhalb der CPA-Umgebung testen und eine JavaScript-Erkennung implementieren, um bei Bedarf auf den vollständigen Systembrowser umzuleiten.

VLAN

Virtual Local Area Network. Ein logisches Netzwerksegment, das den Datenverkehr von anderen Segmenten auf derselben physischen Infrastruktur isoliert. Wird verwendet, um den WiFi-Datenverkehr von Gästen vom Unternehmens- oder POS-Netzwerk zu trennen.

Von Purple zurückgegebene RADIUS-Attribute können WeChat-authentifizierte Gäste einem bestimmten VLAN zuweisen, was die Anforderungen an die PCI-DSS-Netzwerksegmentierung erfüllt.

Ausgearbeitete Beispiele

Eine Luxus-Einzelhandelsmarke in London möchte chinesischen Touristen nahtloses WiFi anbieten und gleichzeitig die Zahl der Follower auf ihrem WeChat Official Account erhöhen. Derzeit nutzt sie Cisco Meraki Access Points und ein standardmäßiges Portal zur E-Mail-Erfassung. Das IT-Team hat zwei Wochen Zeit für die Bereitstellung vor einer großen Kampagne zum chinesischen Neujahrsfest.

Woche eins: Registrieren und verifizieren Sie einen WeChat Service Account, falls noch nicht vorhanden (planen Sie zwei bis vier Wochen für die Genehmigung durch Tencent ein – dieser Schritt sollte also bereits früher begonnen haben; andernfalls nutzen Sie übergangsweise eine verifizierte chinesische Drittpartei). Konfigurieren Sie die WeChat-Entwicklerkonsole mit der Callback-Domain, die mit der Purple-Portal-URL übereinstimmt. Aktivieren Sie auf der Purple-Plattform den WeChat-Social-Login, geben Sie die AppID und das AppSecret ein und gestalten Sie die Splash-Page mit WeChat als primärer Login-Option. Konfigurieren Sie die Weiterleitung nach der Authentifizierung auf die Follow-Seite des WeChat Official Accounts der Marke. Woche zwei: Aktualisieren Sie im Meraki-Dashboard die Gäste-SSID so, dass sie auf die Purple-Portal-URL verweist. Fügen Sie alle WeChat-API-Domains unter Wireless > Access Control zum Meraki Walled Garden hinzu. Richten Sie die RADIUS-Serverdetails ein. Testen Sie den gesamten Ablauf durchgehend auf einem iOS- und Android-Gerät. Aktivieren Sie das MAC-Caching für eine 30-tägige Wiederkehrerkennung. Gehen Sie live.

Kommentar des Prüfers: Dieser Ansatz nutzt die vorhandene Meraki-Hardware ohne Firmware-Änderungen. Der kritische Pfad ist die Verifizierung des WeChat-Accounts – diese muss lange vor dem Kampagnen-Stichtag gestartet werden. Die Weiterleitung nach dem Login auf die Follow-Seite des Official Accounts ist die wertvollste Konfigurationsentscheidung, da sie einen einmaligen WiFi-Login in einen langfristigen Marketingkanal verwandelt.

Ein Stadion mit einer Kapazität von 15.000 Zuschauern veranstaltet eine Reihe internationaler Events mit einer großen Anzahl chinesischsprachiger Besucher. Der IT-Leiter berichtet, dass 35 % der Gäste das WiFi-Anmeldeformular vor dem Ausfüllen abbrechen. Das Netzwerk läuft über HPE Aruba Access Points, die über Aruba Central verwaltet werden.

Stellen Sie das Captive Portal von Purple mit WeChat als primärer Social-Login-Option neben E-Mail- und SMS-Fallbacks bereit. Konfigurieren Sie das Captive-Portal-Profil in Aruba Central so, dass es zu Purple weiterleitet, und fügen Sie WeChat-Domains zur Liste der erlaubten Domains hinzu. Implementieren Sie ein JavaScript-CPA-Erkennungsskript auf der Splash-Page, um den OAuth-Ablauf in den nativen Systembrowser zu zwingen und den Aruba CPA-Minibrowser zu umgehen. Konfigurieren Sie RADIUS-Attribute, um authentifizierte Fans einem dedizierten Gäste-VLAN zuzuweisen, das vom operativen Netzwerk des Stadions isoliert ist. Stellen Sie das Sitzungs-Timeout auf vier Stunden ein, um die typische Dauer einer Veranstaltung ohne erneute Authentifizierung abzudecken. Leiten Sie die Fans nach der Authentifizierung zu einem WeChat Mini Program weiter, das das Veranstaltungsprogramm, Live-Ergebnisse und einen Bestellservice für Speisen anbietet.

Kommentar des Prüfers: Das CPA-Erkennungsskript ist hier das entscheidende technische Unterscheidungsmerkmal. Ohne dieses schlägt der WeChat-App-Aufruf im Minibrowser fehl, und die Nutzer sehen eine fehlerhafte Seite. Die Weiterleitung zum Mini Program maximiert die Interaktion nach der Authentifizierung, indem sie den Fans sofortigen, relevanten Mehrwert bietet – was auch die Wahrscheinlichkeit erhöht, dass sie dem Official Account des Veranstaltungsortes folgen.

Übungsfragen

Q1. Der neue WeChat WiFi-Login Ihres Standorts schlägt fehl. Gäste tippen auf der Splash-Page auf die WeChat-Schaltfläche, aber die Seite läuft ab (Timeout), bevor sich die WeChat-App öffnet. Das Cisco Meraki-Dashboard zeigt an, dass die SSID online ist und die Purple-Portal-URL korrekt konfiguriert ist. Was ist die wahrscheinlichste Ursache und wie beheben Sie das Problem?

Hinweis: Überlegen Sie, welchen Netzwerkzugriff das Gerät hat, bevor es die Authentifizierung abschließt.

Musterlösung anzeigen

Der Walled Garden auf der Meraki-SSID ist falsch konfiguriert. Das Gerät kann die API-Domains von WeChat vor der Authentifizierung nicht erreichen, sodass der OAuth-Handshake nicht initiiert werden kann. Behebung: Navigieren Sie im Meraki-Dashboard zu "Wireless > Access Control", suchen Sie den Bereich "Walled Garden" und fügen Sie die erforderlichen WeChat-Domains hinzu, einschließlich *.weixin.qq.com, *.wechat.com und *.wx.qq.com. Testen Sie dies, indem Sie den Login-Vorgang erneut von einem Gerät aus versuchen, das zuvor noch nicht mit der SSID verbunden war.

Q2. Ein Marketing Director möchte sein bestehendes WeChat-Abonnementkonto (订阅号) für den WiFi-Login nutzen, da es die tägliche Veröffentlichung von Artikeln für Follower ermöglicht. Er bittet Sie, die Integration zu konfigurieren. Wie reagieren Sie?

Hinweis: Überprüfen Sie die API-Zugriffsebenen für die verschiedenen WeChat-Kontotypen.

Musterlösung anzeigen

Weisen Sie darauf hin, dass ein Abonnementkonto nicht für die WiFi-Authentifizierung verwendet werden kann. Die für die Captive Portal-Integration erforderlichen OAuth 2.0-Webseiten-Autorisierungs-APIs stehen nur verifizierten Service-Konten (服务号) zur Verfügung. Sie müssen ein Service-Konto registrieren. Dies erfordert eine chinesische Geschäftslizenz oder einen ausländischen Antrag über das spezielle Verfahren von Tencent, was zwei bis vier Wochen dauert und jährlich 99 $ kostet. Das Abonnementkonto kann für die Veröffentlichung von Inhalten aktiv bleiben; die beiden Kontotypen dienen unterschiedlichen Zwecken und können nebeneinander existieren.

Q3. Nach einer erfolgreichen WeChat WiFi-Bereitstellung stellt das IT-Team fest, dass Benutzer, die sich vor drei Wochen authentifiziert haben, nicht mehr mit aktualisierten Besuchsdaten im CRM erscheinen, obwohl sie sich mit dem Netzwerk verbinden. Was ist die wahrscheinliche Ursache?

Hinweis: Berücksichtigen Sie die in Purple konfigurierten Einstellungen für das Sitzungsmanagement und die Dauer des MAC-Caches.

Musterlösung anzeigen

Die Dauer des MAC-Caches ist wahrscheinlich auf einen Wert von weniger als drei Wochen eingestellt (z. B. 14 Tage), sodass wiederkehrenden Benutzern der Zugriff über den MAC-Cache gewährt wird, ohne dass ein neues Authentifizierungsereignis oder ein CRM-Update ausgelöst wird. Alternativ ist das WeChat-Access-Token für diese Benutzer abgelaufen und die Plattform aktualisiert es nicht. Behebung: Verlängern Sie die Dauer des MAC-Caches in den Einstellungen für wiederkehrende Besucher von Purple auf 30 Tage und stellen Sie sicher, dass die Konfiguration zur Token-Aktualisierung aktiv ist. Bestätigen Sie außerdem, dass Purple über den MAC-Cache erfolgte Besuche als wiederkehrende Besuchsereignisse im Analytics-Dashboard protokolliert, selbst wenn das Portal nicht angezeigt wird.

Q4. Ihr Standort ist sowohl im Vereinigten Königreich als auch in Festlandchina tätig. Sie möchten ein einheitliches WeChat WiFi-Authentifizierungssystem bereitstellen. Welche Compliance-Verpflichtungen müssen Sie vor der Liveschaltung erfüllen?

Hinweis: Für die beiden Regionen gelten zwei unterschiedliche Datenschutzregime.

Musterlösung anzeigen

Sie müssen sowohl die GDPR (anwendbar auf Nutzer im Vereinigten Königreich und in der EU) als auch das chinesische Gesetz zum Schutz persönlicher Daten (PIPL, anwendbar auf Nutzer in Festlandchina) einhalten. Zu den wichtigsten Anforderungen gehören: Anzeige eines klaren Datenschutzhinweises auf der Splash-Page vor dem Start des OAuth-Flows, Identifizierung des Datenverantwortlichen und Auflistung der von WeChat erfassten Datenkategorien, Angabe der Rechtsgrundlage für die Verarbeitung unter dem jeweiligen Regime (berechtigte Interessen oder Einwilligung unter der GDPR; Einwilligung unter dem PIPL), Bereitstellung eines Mechanismus für Nutzer zum Widerruf der Einwilligung und zur Beantragung der Löschung sowie Sicherstellung, dass Mechanismen für den Datentransfer vorhanden sind, falls WeChat-Profildaten zwischen den Gerichtsbarkeiten fließen. Konsultieren Sie den GDPR-Compliance-Leitfaden von Purple und Ihre Rechtsabteilung für länderspezifische Anforderungen.

Weiterlesen in dieser Reihe

Einrichtung eines Captive Portals auf Starlink: Ein Leitfaden für abgelegene und maritime Standorte

Dieser Leitfaden beschreibt detailliert, wie Sie die native Starlink-Hardware umgehen und ein Cloud-gesteuertes Captive Portal mithilfe von Enterprise-Routing-Geräten integrieren. Sie erfahren, wie Sie die CGNAT-Einschränkung überwinden, eine VLAN-Segmentierung erzwingen, Bandbreitenbeschränkungen von Satelliten verwalten und die Einhaltung gesetzlicher Vorschriften sicherstellen.

Captive Portal Best Practices: Design für hohe Conversion und Compliance

Dieser technische Leitfaden bietet IT-Managern, Netzwerkarchitekten und Leitern des Standortbetriebs ein vollständiges Konzept für die Bereitstellung von Captive Portalen, die Netzwerksicherheit mit hoher User Conversion verbinden. Er deckt die gesamte Architektur ab, von der VLAN-Segmentierung und RADIUS-Authentifizierung bis hin zur GDPR-konformen Einwilligungserklärung und der Auswahl der Authentifizierungsmethode. Basierend auf den betrieblichen Erfahrungen von Purple in über 80.000 Standorten und 440 Millionen Logins im Jahr 2024 ist jede Empfehlung durch reale Bereitstellungsdaten untermauert.

How to Optimize Captive Portals for Maximum Network Security and User Conversion

Dieser Leitfaden bietet eine vollständige technische Blaupause für die Optimierung von Captive Portals in Unternehmensstandorten und deckt Netzwerksegmentierungsarchitektur, die Auswahl von Authentifizierungsmethoden, GDPR-konformes Einwilligungsdesign und die Conversion-Optimierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien und Organisationen des öffentlichen Sektors, die Netzwerksicherheit mit der Erfassung von First-Party-Daten in Einklang bringen müssen. Purple betreibt eine Captive Portal-Infrastruktur an über 80.000 Standorten mit 440 Millionen Logins im Jahr 2024, und die hier vorgestellten Frameworks spiegeln diese betriebliche Erfahrung wider.