Saltar al contenido principal

Integración del inicio de sesión de WiFi con WeChat: Captura del engagement a través de Captive Portals sociales

Esta guía detalla cómo integrar la autenticación de WiFi con WeChat en los Captive Portals empresariales, abarcando la arquitectura OAuth 2.0, la integración de RADIUS y la implementación paso a paso en hardware de Cisco Meraki, HPE Aruba y Juniper Mist. Proporciona a los directores de TI y arquitectos de red un marco práctico para capturar datos de primera mano de los 1.300 millones de usuarios de WeChat, al tiempo que impulsa el engagement mediante el seguimiento de Cuentas Oficiales y redireccionamientos posteriores al inicio de sesión.

📖 8 min de lectura📝 1,875 palabras🔧 2 ejemplos prácticos4 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Bienvenido al Technical Briefing de Purple. Soy su anfitrión y hoy vamos a analizar en detalle una integración fundamental para los establecimientos que buscan captar la interacción de un grupo demográfico masivo: la integración del inicio de sesión de WeChat WiFi a través de Captive Portals sociales. Si es un director de TI, arquitecto de redes o director de operaciones en un hotel, cadena de tiendas o espacio público, ya conoce el reto. Quiere ofrecer un WiFi para invitados sin fricciones, pero su equipo de marketing exige datos propios. Los formularios de registro manual provocan abandonos y los inicios de sesión sociales genéricos no siempre dan en el clavo con los visitantes internacionales, en particular los de China, donde WeChat es el ecosistema digital dominante. Ahí es donde entra en juego la autenticación de WeChat WiFi. Transforma un Captive Portal estándar en una herramienta estratégica de captura de datos. Hoy desglosaremos la arquitectura técnica, los pasos de implementación y los errores comunes que debe evitar. Empecemos con la arquitectura. ¿Cómo funciona esto en realidad? La autenticación de WeChat WiFi sustituye la introducción manual de datos en los formularios tradicionales por un flujo OAuth 2.0 integrado directamente en la experiencia del Captive Portal. Cuando un invitado se conecta a su red WiFi, su punto de acceso o controlador de LAN inalámbrica intercepta el tráfico y redirige al usuario a un Captive Portal alojado en la plataforma Purple Cloud. En lugar de escribir una dirección de correo electrónico, el usuario selecciona la opción de inicio de sesión de WeChat. Esto activa una llamada a la API de la plataforma abierta de WeChat. El usuario autoriza la conexión dentro de su aplicación WeChat y WeChat devuelve un token de acceso y datos de perfil de usuario - como OpenID, unionid, apodo y avatar - a la plataforma Purple. A continuación, Purple indica a su servidor RADIUS que envíe un mensaje Access-Accept a su hardware de red, concediendo acceso a Internet y aplicando las políticas configuradas, como los límites de ancho de banda o la asignación de VLAN. Se trata de un intercambio de información seguro y sin fisuras entre cinco sistemas distintos, todo ello en menos de tres segundos desde la perspectiva del usuario. Ahora bien, ¿qué se necesita para que esto ocurra? Hay cuatro componentes clave. En primer lugar, la cuenta oficial de WeChat. Debe poseer una cuenta de servicio de WeChat verificada, conocida en chino como Fuwuhao. Las cuentas de suscripción carecen de los permisos de API necesarios para la integración de OAuth. Este es un requisito indispensable. La cuenta de servicio proporciona el AppID y el AppSecret necesarios para la comunicación con la API. En segundo lugar, el propio Captive Portal. Esta es la página de bienvenida de la marca que intercepta la sesión y presenta el botón de inicio de sesión de WeChat. Debe ser adaptable a dispositivos móviles y capaz de gestionar correctamente la URI de redirección de OAuth. En tercer lugar, la gestión de identidades y accesos. La plataforma Purple actúa aquí como intermediario, gestionando el intercambio de tokens de OAuth, asignando los datos de perfil de WeChat a su CRM y gestionando la comunicación RADIUS. Esta es la capa de inteligencia que conecta el ecosistema de WeChat con su infraestructura de red. Y, en cuarto lugar, su hardware de red. Puntos de acceso empresariales de proveedores como Cisco Meraki, HPE Aruba o Juniper Mist, configurados para redirigir el tráfico no autenticado al Captive Portal externo y aplicar los atributos de autorización RADIUS. Entonces, ¿cómo implementamos esto? Es un proceso de tres pasos. Paso uno: Configurar la cuenta de desarrollador de WeChat. Deberá habilitar la función de autorización de página web OAuth 2.0 en la plataforma oficial de cuentas de WeChat. Registre el dominio de su Captive Portal como el dominio de redireccionamiento autorizado. Esto garantiza que WeChat solo devuelva códigos de autorización a su infraestructura de confianza. A continuación, obtenga su AppID y AppSecret. Paso dos: Configurar la plataforma Purple. Vaya a la configuración de los métodos de autenticación, habilite el inicio de sesión social de WeChat e introduzca su AppID y AppSecret. Diseñe su página de bienvenida para que el inicio de sesión de WeChat sea destacado. Y, fundamentalmente, configure sus redireccionamientos posteriores a la autenticación. No se limite a enviar a los usuarios a una página de éxito genérica. Rediríjalos al perfil oficial de su cuenta de WeChat para fomentar los seguimientos, o a una página de destino promocional específica. Paso tres: Configuración de la infraestructura de red. En su controlador inalámbrico, configure el SSID de invitados para la autenticación del Captive Portal externo. Introduzca la URL del Captive Portal de Purple. Y aquí está el paso de configuración más importante: configure las entradas de la lista blanca o "walled garden". Debe incluir en la lista blanca los dominios de la API de WeChat y los rangos de IP para que el dispositivo del usuario pueda comunicarse con WeChat antes de estar completamente autenticado en la red. Si se salta este paso, todo el flujo fallará. Ahora hablemos de las mejores prácticas y la resolución de problemas. ¿Qué suele fallar y cómo se puede evitar? Acabo de mencionar el "walled garden". Un "walled garden" mal configurado es la causa número uno de los fallos de inicio de sesión de WeChat en las implementaciones de producción. Si el dispositivo no puede conectarse con los servidores de WeChat antes de la autenticación, el flujo de OAuth no puede iniciarse. Asegúrese de que todos los dominios de WeChat necesarios sean accesibles antes de la autenticación. Pruebe esto a fondo antes de la puesta en marcha. Otro problema común es la discrepancia de redireccionamiento de OAuth. Si la URL de redireccionamiento registrada en WeChat no coincide exactamente con la URL de su Captive Portal, WeChat bloqueará la autorización. Los protocolos y subdominios deben coincidir perfectamente. HTTPS frente a HTTP, con o sin una barra final - estos detalles son importantes. Además, tenga cuidado con la interferencia del asistente del Captive Portal. Los sistemas operativos móviles utilizan estos mini-navegadores para gestionar las redes cautivas, pero a menudo carecen de una funcionalidad completa y pueden interferir con la llamada de la aplicación WeChat. Es posible que tenga que implementar un script de detección de JavaScript para forzar el inicio de sesión en el navegador nativo del sistema. Por el lado de la estrategia, no desaproveche la interacción posterior al inicio de sesión. Impulse a los usuarios a seguir su cuenta oficial, acceder a un mapa interior o ver un menú digital. Manténgalos interesados dentro del ecosistema de WeChat. Y en cuanto a la minimización de datos: solicite únicamente los datos de perfil de WeChat necesarios para sus objetivos de marketing. El exceso de solicitud de permisos aumenta las tasas de abandono y complica el cumplimiento de la privacidad. Hablando de cumplimiento, la recopilación de datos a través de WeChat debe cumplir con las leyes de privacidad regionales, incluido el GDPR en Europa y la Ley de Protección de Información Personal en China. Asegúrese de que las condiciones de servicio de su Captive Portal articulen claramente qué datos se recopilan, cómo se utilizan y con quién se comparten. Implemente mecanismos de consentimiento explícito antes de iniciar el flujo OAuth. Pasemos ahora a una ronda rápida de preguntas y respuestas sobre los temas que escuchamos con más frecuencia. Pregunta: ¿Puedo utilizar una cuenta de suscripción de WeChat? No. Necesita una cuenta de servicio verificada. Punto final. Pregunta: ¿Tengo que añadir los dominios de WeChat a la lista de permitidos en cada punto de acceso? Sí. El Walled Garden debe configurarse a nivel de SSID en el controlador inalámbrico. Pregunta: ¿Cuánto tiempo mantiene WeChat el token de acceso válido? Los tokens de acceso de WeChat caducan al cabo de dos horas. Asegúrese de que su plataforma esté configurada para actualizarlos automáticamente. Pregunta: ¿Qué datos obtengo realmente de WeChat? Recibe el OpenID del usuario, su unionid si ha autorizado varias aplicaciones, su apodo, la URL de la foto de perfil y su ciudad y país de registro. No recibe su número de teléfono ni su dirección de correo electrónico directamente de WeChat. Para terminar, estas son las cinco conclusiones del informe de hoy. Primera: la autenticación WiFi de WeChat utiliza OAuth 2.0 para sustituir la introducción manual de formularios por un inicio de sesión con un solo toque, lo que aumenta las tasas de finalización entre un 20 y un 30 por ciento. Segunda: es obligatorio disponer de una cuenta de servicio de WeChat verificada. Las cuentas de suscripción no funcionarán. Tercera: la configuración del Walled Garden en sus puntos de acceso es el paso más crítico y el que más se suele pasar por alto. Cuarta: las redirecciones posteriores a la autenticación a su cuenta oficial convierten a los visitantes transitorios en seguidores digitales a largo plazo. Y quinta: asegúrese de que sus declaraciones de consentimiento y privacidad cubren tanto los requisitos de GDPR como de PIPL antes de la puesta en marcha. Este es el informe técnico sobre la integración del inicio de sesión WiFi de WeChat. Para obtener más información sobre estrategia de WiFi para invitados, analítica y cumplimiento, visite purple dot ai. Gracias por escuchar.

header_image.png

Resumen Ejecutivo

La integración del inicio de sesión de WeChat WiFi transforma un Captive Portal estándar en un motor estratégico de datos de origen para los visitantes chinos y el ecosistema más amplio de WeChat. Para los responsables de TI y arquitectos de redes, implementar el inicio de sesión de WeChat a través de OAuth 2.0 y RADIUS requiere equilibrar un acceso de invitados fluido con una recopilación de datos segura y conforme a las normativas. Esta guía detalla la arquitectura técnica, los pasos de implementación y las consideraciones de seguridad para desplegar la autenticación de WeChat WiFi en hardware de red empresarial, incluidos Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist. Muestra cómo la plataforma Guest WiFi de Purple media en el flujo de OAuth, mapea los datos de perfil con su CRM e impulsa la interacción mediante redireccionamientos posteriores al inicio de sesión hacia su WeChat Official Account.

WeChat cuenta con más de 1.300 millones de usuarios activos mensuales, y los datos de la Organización Mundial del Turismo indican que se proyectaba que los viajeros chinos gastarían 255.000 millones de dólares a nivel internacional en 2023. Para hoteles, tiendas de lujo, aeropuertos y centros de conferencias, ofrecer el inicio de sesión de WeChat WiFi es un canal directo a ese perfil demográfico. Purple opera en más de 80.000 espacios activos y registró 440 millones de inicios de sesión en 2024, lo que nos proporciona una visión directa de lo que funciona y lo que falla en los despliegues en producción.


Análisis Técnico Detallado

Cómo funciona la autenticación de WeChat WiFi

La autenticación de WeChat WiFi sustituye la introducción manual de datos en formularios por un flujo de OAuth 2.0 integrado directamente en la experiencia del Captive Portal. La secuencia implica la comunicación de cinco componentes en un orden definido:

  1. El dispositivo invitado se conecta al SSID del establecimiento.
  2. El punto de acceso (AP) intercepta el tráfico HTTP no autenticado y redirige el dispositivo a un Captive Portal alojado por Purple.
  3. El usuario selecciona la opción de inicio de sesión de WeChat en la página del portal.
  4. El portal inicia una solicitud de autorización OAuth 2.0 a la API de la plataforma abierta de WeChat, enviando el AppID del establecimiento y la URI de redireccionamiento.
  5. El cliente de WeChat se abre en el dispositivo y solicita al usuario que autorice la conexión.
  6. WeChat devuelve un código de autorización a la URI de redireccionamiento.
  7. La plataforma Purple canjea el código de autorización por un token de acceso y recupera los datos de perfil del usuario: OpenID, unionid, apodo, avatar y ubicación registrada.
  8. Purple indica al servidor RADIUS que envíe un mensaje Access-Accept al punto de acceso.
  9. El punto de acceso concede acceso a internet y aplica las políticas configuradas (asignación de VLAN, límites de ancho de banda, tiempo de espera de sesión).
  10. El portal redirige al usuario a la WeChat Official Account del establecimiento o a una página de destino personalizada.

authentication_flow_diagram.png

Requisitos del tipo de cuenta

Este es el punto de fallo único más común en las implementaciones de WeChat WiFi. Debe utilizar una Cuenta de servicio (服务号) de WeChat verificada. Las cuentas de suscripción no exponen las API de autorización web OAuth 2.0 necesarias para la integración del Captive Portal. La siguiente tabla resume las diferencias clave:

Característica Cuenta de servicio Cuenta de suscripción
Inicio de sesión WiFi con OAuth 2.0 No
Nivel de acceso a la API Completo Restringido
Mensajes push al mes 4 30
Ubicación en la lista de chat Sí (como un contacto) No (agrupada en la carpeta de suscripciones)
Integración con WeChat Pay No
Verificación requerida

La obtención de una Cuenta de servicio verificada requiere una licencia comercial china o un proceso de solicitud especial en el extranjero a través de Tencent, lo que conlleva una tasa de verificación anual de 99 USD y un periodo de revisión de dos a cuatro semanas.

El Walled Garden: la configuración de red más crítica

El walled garden (también conocido como lista blanca de autenticación previa) define las direcciones IP y los dominios a los que puede acceder un dispositivo antes de completar la autenticación en el Captive Portal. Si los dominios de la API de WeChat no están en el walled garden, el dispositivo no puede iniciar el saludo OAuth y el inicio de sesión falla silenciosamente en segundo plano.

Como mínimo, se debe permitir el acceso a los siguientes dominios:

  • *.weixin.qq.com
  • *.wechat.com
  • *.wx.qq.com
  • res.wx.qq.com
  • mp.weixin.qq.com
  • Los rangos de IP de la CDN de WeChat (consulte la documentación de rangos de IP publicada por Tencent, ya que cambian periódicamente)

En Cisco Meraki, configure esto en Wireless > Access Control > Walled Garden. En HPE Aruba, utilice la lista blanca de Captive Portal Profile. En Juniper Mist, configure la lista de dominios permitidos de Guest Portal.

Integración de RADIUS y aplicación de políticas

En esta arquitectura, Purple funciona como un proxy RADIUS. Tras un intercambio de OAuth de WeChat correcto, Purple envía un mensaje RADIUS Access-Accept al controlador inalámbrico del establecimiento. El mensaje Access-Accept puede contener atributos RADIUS estándar para aplicar políticas por usuario:

  • Tunnel-Type y Tunnel-Private-Group-ID para la asignación de VLAN (aislando el tráfico de invitados de la red corporativa, en consonancia con las mejores prácticas de segmentación IEEE 802.1X)
  • Session-Timeout para la desconexión automática tras un periodo definido
  • WISPr-Bandwidth-Max-Up y WISPr-Bandwidth-Max-Down para la limitación del ancho de banda

La arquitectura es independiente del hardware. Purple se integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet sin necesidad de cambios de firmware ni servidores locales.

venue_deployment_overview.png


Guía de implementación

Paso 1: Configurar la cuenta de desarrollador de WeChat

Inicie sesión en la plataforma de cuentas oficiales de WeChat (mp.weixin.qq.com). Vaya a Settings and Development > Security Centre > Web Authorisation Domains. Habilite la autorización web OAuth 2.0 y añada el dominio de su Captive Portal como un dominio de callback autorizado (por ejemplo, wifi.yourvenue.com). WeChat solo enviará códigos de autorización a los dominios registrados aquí; un error de concordancia provocará fallos silenciosos.

Obtenga su AppID y AppSecret en el panel Settings and Development > Basic Configuration. Guarde el AppSecret de forma segura; trátelo como una clave privada.

Paso 2: Configurar Purple

En el portal de Purple, vaya a Authentication > Social Login y habilite WeChat. Introduzca el AppID y el AppSecret. Diseñe la página de inicio del Captive Portal con el editor arrastrar y soltar de Purple. Coloque el botón de inicio de sesión de WeChat como la llamada a la acción (CTA) principal visible en la primera pantalla.

Configure la redirección posterior a la autenticación. Las opciones incluyen:

  • La página de seguimiento de la cuenta oficial de WeChat del establecimiento (recomendado para fomentar la interacción)
  • Una página de destino promocional alojada en un WeChat Mini Program
  • Una página de encuesta mediante las herramientas de WiFi Analytics de Purple
  • Una página de inscripción en el programa de fidelización

Habilite el almacenamiento en caché de direcciones MAC en Authentication > Return Visitor Settings. Establezca la duración de la caché para que coincida con la frecuencia típica de las visitas (se recomiendan 7 días para tiendas de retail y 30 días para hoteles). Los visitantes que regresan se conectarán automáticamente sin tener que volver a ver el portal, mientras que su visita se seguirá registrando en el panel de analíticas.

Paso 3: Configurar el hardware de red

En su controlador inalámbrico, configure el SSID de invitados para utilizar un Captive Portal externo. Introduzca la URL del portal de Purple como la URL de la página de inicio. Añada los dominios de WeChat al walled garden. Configure la dirección IP del servidor RADIUS y el secreto compartido proporcionados por Purple.

Antes de poner en marcha el servicio, pruebe el flujo completo con un dispositivo móvil. Siga estos pasos:

  1. Conéctese al SSID de invitados.
  2. Confirme que el Captive Portal se carga en el mininavegador de Captive Portal Assistant (CPA).
  3. Toque el botón de inicio de sesión de WeChat y confirme que se abre el cliente de WeChat.
  4. Autorice la conexión y confirme que se concede el acceso a internet.
  5. Confirme que la redirección posterior al inicio de sesión se ejecuta correctamente.

Buenas prácticas

Optimice el walled garden. Un walled garden mal configurado es la causa principal de los fallos de inicio de sesión de WeChat en entornos de producción. Realice pruebas antes del lanzamiento y vuelva a probar después de cualquier actualización de firmware de red, ya que algunos controladores restablecen las entradas de la lista blanca durante las actualizaciones.

Impulse el engagement tras iniciar sesión. El momento posterior a la autenticación es el punto de mayor atención en la experiencia de WiFi para invitados. Redirija a los usuarios a la página de seguimiento de su cuenta oficial. Los visitantes que siguen su cuenta siguen estando localizables a través de notificaciones push mucho tiempo después de abandonar el establecimiento.

Implemente el almacenamiento en caché de direcciones MAC para visitantes recurrentes. Exigir una autenticación repetida en cada visita degrada la experiencia. El almacenamiento en caché de direcciones MAC elimina la fricción para los visitantes recurrentes, al tiempo que registra la visita para fines analíticos. Consulte WiFi Analytics de Purple para obtener informes sobre el tiempo de permanencia y las visitas recurrentes.

Aplique la minimización de datos. Solicite únicamente los campos del perfil de WeChat que su CRM realmente utilice. Solicitar permisos innecesarios aumenta la tasa de abandono en la autorización y añade complejidad al cumplimiento de GDPR. Para la mayoría de los establecimientos, el OpenID, el apodo y el avatar son suficientes para la personalización.

Aísle el tráfico de invitados mediante VLANs. Asigne a los invitados autenticados a través de WeChat a una VLAN dedicada, aislada de sus redes corporativas o de puntos de venta (POS). Esto cumple con los requisitos de aislamiento de red de PCI DSS y limita el radio de impacto de cualquier incidente de seguridad por parte de los invitados. Para obtener un desglose completo de la arquitectura de seguridad de red, consulte nuestra guía de seguridad WiFi para empresas .

Cumpla con GDPR y PIPL. Muestre un aviso de privacidad claro en el portal cautivo antes de que el usuario inicie el flujo de OAuth de WeChat. El aviso debe identificar al responsable del tratamiento de los datos, enumerar las categorías de datos recopilados de WeChat, indicar la base jurídica para el tratamiento y enlazar a la política de privacidad completa. Para obtener una orientación detallada, consulte nuestra guía de cumplimiento de GDPR para WiFi .

-

Resolución de problemas y mitigación de riesgos

Discrepancia en la redirección de OAuth

Si la URL de devolución de llamada registrada en la consola de desarrolladores de WeChat no coincide exactamente con la URL que utiliza Purple para la redirección, WeChat devuelve un código de error y bloquea la autorización. Compruebe si hay discrepancias en los protocolos (HTTP frente a HTTPS), barras diagonales finales y diferencias de subdominio. El dominio registrado debe coincidir exactamente con la cadena de texto.

Interferencia del asistente del portal cautivo (CPA)

Los sistemas operativos móviles utilizan mininavegadores CPA para detectar y gestionar las redes con Captive Portal. Estos mininavegadores a menudo carecen de la capacidad de abrir aplicaciones nativas, lo que interrumpe la transición a la aplicación WeChat en el flujo de OAuth. Las medidas de mitigación incluyen:

  • Implementar una redirección de JavaScript que detecte el entorno CPA y abra el navegador completo del sistema antes de iniciar el flujo de OAuth.
  • Mostrar instrucciones claras en el portal cautivo indicando a los usuarios que abran la página en un navegador completo si el botón de WeChat no responde.

Caducidad de tokens y sesiones obsoletas

Los tokens de acceso de WeChat caducan después de dos horas. Si su plataforma no actualiza el token, el registro de CRM del usuario deja de actualizarse después de la sesión inicial. Configure los ajustes de actualización de tokens de Purple para mantener un token activo durante la visita del invitado.

Riesgo geopolítico y regulatorio

WeChat está sujeto a la regulación del gobierno chino y a la política de la plataforma Tencent. El acceso a la API se puede suspender o modificar sin previo aviso. Para mitigar este riesgo, asegúrese de que su Captive Portal admita múltiples métodos de autenticación (correo electrónico, SMS, otros inicios de sesión de redes sociales) para que una interrupción de la API de WeChat no deje fuera de línea todo su servicio de WiFi para invitados. Los portales multicanal de Purple admiten de forma nativa esta arquitectura de respaldo.

-

ROI e impacto empresarial

El despliegue de la autenticación WiFi de WeChat ofrece un rendimiento medible en tres dimensiones.

Mayores tasas de captura de datos. El inicio de sesión a través de redes sociales elimina la fricción de rellenar formularios. Los establecimientos que utilizan las opciones de inicio de sesión con redes sociales de Purple reportan tasas de finalización de autenticación entre un 20% y un 30% más altas que los portales comparables que solo utilizan correo electrónico (datos internos de Purple, 2024). En un establecimiento que gestiona 500 conexiones de WiFi para invitados al día, un aumento del 25% significa la captura diaria de 125 perfiles verificados adicionales.

Crecimiento de seguidores de la cuenta oficial. Redirigir a los usuarios autenticados a la página de seguimiento de la cuenta oficial convierte el tráfico de clientes transitorios en una audiencia digital accesible. Un hotel con 200 visitantes autenticados con WeChat al día que consiga una tasa de seguimiento del 40% obtiene 80 nuevos seguidores en su cuenta oficial diariamente, seguidores que pueden recibir notificaciones push segmentadas sobre ofertas para volver a visitarlo, actualizaciones de programas de fidelización y promociones estacionales.

Visibilidad operativa. La plataforma WiFi Analytics de Purple correlaciona las sesiones autenticadas con WeChat con el tiempo de permanencia, la frecuencia de las visitas y los datos de movimiento a nivel de zona. Esto proporciona a los directores de operaciones de los establecimientos los datos necesarios para optimizar el personal, la distribución y la programación de las promociones. Para los establecimientos de hospitality , estos datos se integran directamente con los sistemas PMS para enriquecer los perfiles de los huéspedes.

Para los entornos de retail , la autenticación de WeChat combinada con la plataforma de análisis de Purple replica la riqueza de datos de nivel de comercio electrónico en un entorno de tienda física, una capacidad que adquiere cada vez más valor a medida que la desaparición de las cookies de terceros reduce la eficacia del retargeting digital.

-

Para obtener una orientación relacionada, consulte nuestra guía de cumplimiento de WiFi GDPR y nuestra guía de seguridad WiFi para empresas . Para conocer cómo se despliega Purple en sectores específicos, visite nuestras páginas de hostelería , comercio minorista , sanidad y transporte .

Definiciones clave

OAuth 2.0

Un protocolo de autorización estándar del sector que permite a un usuario conceder a una aplicación de terceros acceso a los datos de su cuenta en otro servicio sin compartir su contraseña. En la autenticación de WiFi de WeChat, el Captive Portal es la aplicación de terceros y WeChat es el proveedor de identidad.

El mecanismo subyacente para todo inicio de sesión social de WiFi. Los equipos de TI lo encuentran al configurar el AppID, el AppSecret y la URI de redireccionamiento en la consola de desarrollador de WeChat y en la plataforma Purple.

Captive Portal

Una página web que intercepta el tráfico de red de un dispositivo y requiere que el usuario se autorice o acepte los términos antes de concederle acceso a internet. Funciona redirigiendo todas las solicitudes HTTP a la URL del portal hasta que se completa la autenticación.

El componente orientado al usuario del sistema de inicio de sesión de WeChat WiFi. Purple aloja y gestiona el Captive Portal como una capa en la nube sobre el hardware existente del establecimiento.

Walled garden

Una lista blanca de preautenticación de direcciones IP y dominios a los que un dispositivo puede acceder antes de completar el inicio de sesión en el Captive Portal. Es necesaria para permitir que el dispositivo se comunique con los servidores de autenticación de WeChat durante el flujo de OAuth.

El elemento configurado de forma incorrecta con más frecuencia en las implementaciones de WeChat WiFi. Debe configurarse a nivel de SSID en el controlador inalámbrico.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona autenticación, autorización y contabilidad centralizadas para el acceso a la red. Tras un intercambio de WeChat OAuth correcto, Purple envía un mensaje RADIUS Access-Accept al punto de acceso para conceder acceso a internet.

El protocolo que conecta la plataforma de identidad de Purple al hardware de red del establecimiento. Los equipos de TI configuran las direcciones IP del servidor RADIUS y los secretos compartidos en el controlador inalámbrico.

WeChat Service Account (服务号)

Una categoría de WeChat Official Account diseñada para empresas que ofrece acceso completo a la API, incluida la autorización de páginas web mediante OAuth 2.0. Aparece como un contacto en la lista de chat del usuario. Requiere el registro de la empresa en China o una verificación en el extranjero.

El tipo de cuenta obligatorio para el inicio de sesión de WeChat WiFi. Las cuentas de suscripción no se pueden utilizar para este fin.

OpenID

Un identificador único asignado por WeChat a un usuario específico para una Official Account concreta. Dos Official Accounts distintas recibirán diferentes OpenIDs para el mismo usuario.

La clave principal utilizada por el CRM para identificar y realizar el seguimiento de los usuarios individuales a lo largo de las sesiones de WiFi.

Unionid

Un identificador único asignado por WeChat a un usuario específico en todas las Official Accounts y Mini Programas registrados bajo la misma cuenta de la plataforma abierta de WeChat. Permite el reconocimiento de usuarios en diferentes productos.

Relevante para marcas con múltiples puntos de contacto de WeChat (por ejemplo, una cadena de tiendas que cuenta tanto con un portal WiFi como con un Mini Programa de compras) que desean unificar el perfil de usuario en todas las interacciones.

Almacenamiento en caché de direcciones MAC

Una función de red que almacena el identificador de hardware único de un dispositivo (dirección MAC) tras la autenticación inicial, lo que permite que la red conceda acceso automáticamente en conexiones posteriores sin tener que volver a presentar el Captive Portal.

Se utiliza para mejorar la experiencia de los visitantes que regresan. Purple registra la visita de retorno para analíticas incluso cuando no se muestra el portal.

Captive Portal Assistant (CPA)

El mininavegador que inician automáticamente iOS y Android cuando detectan una red que requiere autenticación mediante Captive Portal. Los CPA tienen una funcionalidad limitada y es posible que no admitan las llamadas a aplicaciones nativas necesarias para el flujo de OAuth de WeChat.

Los equipos de TI deben probar el flujo de inicio de sesión de WeChat específicamente dentro del entorno CPA e implementar la detección de JavaScript para redirigir al navegador completo del sistema si es necesario.

VLAN

Virtual Local Area Network. Un segmento de red lógico que aísla el tráfico de otros segmentos en la misma infraestructura física. Se utiliza para separar el tráfico de la red WiFi de invitados de las redes corporativas o de TPV.

Los atributos RADIUS devueltos por Purple pueden asignar a los invitados autenticados mediante WeChat a una VLAN específica, cumpliendo con los requisitos de segmentación de red de PCI-DSS.

Ejemplos prácticos

Una marca de venta al por menor de lujo en Londres quiere ofrecer WiFi de forma fluida a los turistas chinos y, al mismo tiempo, aumentar los seguidores en su Cuenta Oficial de WeChat. Actualmente utilizan puntos de acceso Cisco Meraki y un portal estándar de captura de correo electrónico. Su equipo de TI dispone de dos semanas para realizar la implementación antes de una importante campaña del Año Nuevo Chino.

Semana uno: Registrar y verificar una Cuenta de Servicio de WeChat si aún no se ha hecho (se deben prever de dos a cuatro semanas para la aprobación de Tencent, por lo que este paso debería haber comenzado antes; de lo contrario, se puede utilizar una entidad china de terceros verificada como medida provisional). Configurar la consola de desarrollador de WeChat con el dominio de devolución de llamada que coincida con la URL del portal de Purple. En la plataforma Purple, habilitar el inicio de sesión social con WeChat, introducir el AppID y el AppSecret, y diseñar la página de bienvenida con WeChat como opción principal de inicio de sesión. Configurar el redireccionamiento posterior a la autenticación a la página de seguimiento de la Cuenta Oficial de WeChat de la marca. Semana dos: En el panel de control de Meraki, actualizar el SSID de invitados para que apunte a la URL del portal de Purple. Añadir todos los dominios de la API de WeChat al Walled Garden de Meraki en Wireless > Access Control. Configurar los detalles del servidor RADIUS. Probar el flujo completo de extremo a extremo desde un dispositivo iOS y Android. Habilitar el almacenamiento en caché de direcciones MAC para el reconocimiento de visitantes recurrentes durante 30 días. Publicar.

Comentario del examinador: Este enfoque utiliza el hardware Meraki existente sin necesidad de realizar cambios en el firmware. El elemento crítico del camino es la verificación de la cuenta de WeChat; esto debe iniciarse con bastante antelación a cualquier fecha límite de campaña. El redireccionamiento posterior al inicio de sesión a la página de seguimiento de la Cuenta Oficial es la decisión de configuración de mayor valor, ya que convierte un inicio de sesión de WiFi único en un canal de marketing a largo plazo.

Un estadio con capacidad para 15.000 personas alberga una serie de eventos internacionales con una gran afluencia de asistentes de habla china. El director de TI informa de que el 35% de los invitados abandonan el formulario de inicio de sesión de WiFi antes de completarlo. La red funciona con puntos de acceso HPE Aruba gestionados a través de Aruba Central.

Implementar el Captive Portal de Purple con WeChat como la opción de inicio de sesión social principal, junto con opciones de recuperación de correo electrónico y SMS. Configurar el perfil del Captive Portal de Aruba Central para redirigir a Purple y añadir los dominios de WeChat a la lista de permitidos. Implementar un script de detección de CPA de JavaScript en la página de bienvenida para forzar el flujo de OAuth hacia el navegador nativo del sistema, evitando el mini-navegador CPA de Aruba. Configurar los atributos de RADIUS para asignar a los aficionados autenticados a una VLAN de invitados dedicada, aislada de la red operativa del estadio. Establecer el tiempo de espera de la sesión en cuatro horas para cubrir la duración típica de un evento sin necesidad de volver a autenticarse. Después de la autenticación, redirigir a los aficionados a un Mini Programa de WeChat que albergue el programa del evento, los resultados en directo y un servicio de pedido de comida.

Comentario del examinador: El script de detección de CPA es el diferenciador técnico clave en este caso. Sin él, la llamada a la aplicación WeChat falla en el mini-navegador y los usuarios experimentan un error en la experiencia. El redireccionamiento al Mini Programa maximiza el engagement posterior a la autenticación al ofrecer a los aficionados un valor relevante e inmediato, lo que también aumenta la probabilidad de que sigan la Cuenta Oficial del recinto.

Preguntas de práctica

Q1. El nuevo inicio de sesión de WeChat WiFi de su establecimiento está fallando. Los invitados tocan el botón de WeChat en la página de bienvenida, pero se agota el tiempo de espera de la página antes de que se abra la aplicación WeChat. El panel de control de Cisco Meraki muestra que el SSID está en línea y que la URL del portal de Purple está correctamente configurada. ¿Cuál es la causa más probable y cómo se soluciona?

Sugerencia: Tenga en cuenta el acceso a la red que tiene el dispositivo antes de que se complete la autenticación.

Ver respuesta modelo

El walled garden en el SSID de Meraki está mal configurado. El dispositivo no puede llegar a los dominios de la API de WeChat antes de la autenticación, por lo que el protocolo de enlace OAuth no puede iniciarse. Solución: navegue a Inalámbrico > Control de acceso en el panel de Meraki, busque la sección Walled Garden y añada los dominios de WeChat requeridos, incluidos *.weixin.qq.com, *.wechat.com y *.wx.qq.com. Realice una prueba intentando el flujo de inicio de sesión de nuevo desde un dispositivo que no se haya conectado previamente al SSID.

Q2. Un director de marketing desea utilizar su cuenta de suscripción de WeChat existente (订阅号) para habilitar el inicio de sesión de WiFi porque permite la publicación diaria de artículos a los seguidores. Le pide que configure la integración. ¿Cómo responde?

Sugerencia: Revise los niveles de acceso de la API para los diferentes tipos de cuentas de WeChat.

Ver respuesta modelo

Infórmeles de que una cuenta de suscripción no se puede utilizar para la autenticación de WiFi. Las API de autorización de páginas web OAuth 2.0 requeridas para la integración del Captive Portal solo están disponibles para cuentas de servicio verificadas (服务号). Tendrán que registrar una cuenta de servicio. Esto requiere una licencia comercial china o una solicitud en el extranjero a través del proceso especial de Tencent, que tarda de dos a cuatro semanas y cuesta 99 USD anuales. La cuenta de suscripción puede seguir activa para la publicación de contenido; los dos tipos de cuenta sirven para propósitos diferentes y pueden coexistir.

Q3. Después de una implementación exitosa de WeChat WiFi, el equipo de TI nota que los usuarios que se autenticaron hace tres semanas ya no aparecen en el CRM con datos de visitas actualizados, a pesar de que se están conectando a la red. ¿Cuál es la causa más probable?

Sugerencia: Considere la configuración de gestión de sesiones configurada en Purple y la duración de la caché de MAC.

Ver respuesta modelo

Es probable que la duración de la caché de MAC esté configurada en un valor inferior a tres semanas (por ejemplo, 14 días), por lo que a los usuarios que regresan se les concede acceso a través de la caché de MAC sin activar un nuevo evento de autenticación o actualización de CRM. Alternativamente, el token de acceso de WeChat para esos usuarios ha caducado y la plataforma no lo está renovando. Solución: amplíe la duración de la caché de MAC a 30 días en la configuración de visitantes recurrentes de Purple y asegúrese de que la configuración de renovación del token esté activa. Confirme también que Purple está registrando las visitas de la caché de MAC como eventos de visitas recurrentes en el panel de análisis, incluso cuando no se muestra el portal.

Q4. Su establecimiento opera tanto en el Reino Unido como en China continental. Desea implementar un sistema unificado de autenticación WeChat WiFi. ¿Qué obligaciones de cumplimiento debe abordar antes de la puesta en marcha?

Sugerencia: Se aplican dos regímenes de privacidad distintos a las dos geografías.

Ver respuesta modelo

Debe cumplir tanto con el GDPR (aplicable a los usuarios en el Reino Unido y la UE) como con la Ley de Protección de Información Personal de China (PIPL, aplicable a los usuarios en China continental). Los requisitos clave incluyen: mostrar un aviso de privacidad claro en la página de inicio antes de iniciar el flujo de OAuth, identificar al controlador de datos y enumerar las categorías de datos recopiladas de WeChat, indicar la base legal para el procesamiento bajo cada régimen (intereses legítimos o consentimiento bajo GDPR; consentimiento bajo PIPL), proporcionar un mecanismo para que los usuarios retiren el consentimiento y soliciten la eliminación, y garantizar que existan mecanismos de transferencia de datos si los datos del perfil de WeChat fluyen entre jurisdicciones. Consulte la guía de cumplimiento de GDPR de Purple y a su asesor legal para conocer los requisitos específicos de cada jurisdicción.