Saltar al contenido principal

Integración del inicio de sesión de WeChat WiFi: Captura de interacciones a través de Captive Portals de redes sociales

Esta guía detalla cómo integrar la autenticación de WeChat WiFi en Captive Portals empresariales, cubriendo la arquitectura OAuth 2.0, la integración RADIUS y la implementación paso a paso en hardware Cisco Meraki, HPE Aruba y Juniper Mist. Proporciona a los administradores de TI y arquitectos de red un marco práctico para capturar datos de primera fuente de los 1,300 millones de usuarios de WeChat, mientras se impulsa la interacción a través de un redireccionamiento después de iniciar sesión y el seguimiento de Cuentas Oficiales.

📖 8 min de lectura📝 1,875 palabras🔧 2 ejemplos resueltos4 preguntas de práctica📚 10 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Bienvenido al boletín técnico de Purple. Soy su anfitrión y hoy profundizaremos en una integración crítica para los establecimientos que buscan capturar la interacción de un grupo demográfico masivo: la integración del inicio de sesión de WeChat WiFi a través de Captive Portals sociales. Si es un gerente de TI, arquitecto de redes o director de operaciones en un hotel, cadena de retail o lugar público, conoce el desafío. Desea ofrecer WiFi para invitados sin fricciones, pero su equipo de marketing exige datos de primera mano. Los formularios de registro manual provocan que los usuarios abandonen el proceso y los inicios de sesión de redes sociales genéricos no siempre funcionan para los visitantes internacionales, en particular los de China, donde WeChat es el ecosistema digital dominante. Ahí es donde entra en juego la autenticación de WeChat WiFi. Transforma un Captive Portal estándar en una herramienta estratégica de captura de datos. Hoy desglosaremos la arquitectura técnica, los pasos de implementación y los errores comunes que debe evitar. Comencemos con la arquitectura. ¿Cómo funciona esto realmente? La autenticación de WeChat WiFi reemplaza el ingreso de formularios manuales tradicionales con un flujo OAuth 2.0 integrado directamente en la experiencia del Captive Portal. Cuando un invitado se conecta a su red WiFi, su punto de acceso o controlador de LAN inalámbrica intercepta el tráfico y redirige al usuario a un Captive Portal alojado en la plataforma Purple Cloud. En lugar de escribir una dirección de correo electrónico, el usuario selecciona la opción de inicio de sesión de WeChat. Esto activa una llamada API a la plataforma abierta de WeChat. El usuario autoriza la conexión dentro de su aplicación de WeChat, y WeChat devuelve un token de acceso y datos de perfil de usuario (como OpenID, unionid, apodo y avatar) a la plataforma de Purple. Luego, Purple indica a su servidor RADIUS que envíe un mensaje Access-Accept a su hardware de red, otorgando acceso a internet y aplicando cualquier política configurada, como límites de ancho de banda o asignación de VLAN. Es un intercambio de información seguro y sin fricciones entre cinco sistemas distintos, todo en menos de tres segundos desde la perspectiva del usuario. Ahora, ¿qué necesita para que esto suceda? Hay cuatro componentes clave. Primero, la cuenta oficial de WeChat. Debe poseer una cuenta de servicio de WeChat verificada, conocida en chino como Fuwuhao. Las cuentas de suscripción carecen de los permisos de API necesarios para la integración de OAuth. Este es un requisito obligatorio. La cuenta de servicio proporciona el AppID y AppSecret requeridos para la comunicación de la API. Segundo, el propio Captive Portal. Esta es la página de bienvenida con su marca que intercepta la sesión y presenta el botón de inicio de sesión de WeChat. Debe ser adaptable a dispositivos móviles y capaz de manejar la URI de redireccionamiento de OAuth correctamente. Tercero, la gestión de identidades y accesos. La plataforma Purple actúa como intermediaria aquí, gestionando el intercambio de tokens de OAuth, mapeando los datos de perfil de WeChat a su CRM y manejando la comunicación RADIUS. Esta es la capa de inteligencia que conecta el ecosistema de WeChat con su infraestructura de red.Y en cuarto lugar, tu hardware de red. Puntos de acceso empresariales de proveedores como Cisco Meraki, HPE Aruba o Juniper Mist, configurados para redirigir el tráfico no autenticado al Captive Portal externo y aplicar los atributos de autorización RADIUS. Entonces, ¿cómo implementamos esto? Es un proceso de tres pasos. Paso uno: Configurar la cuenta de desarrollador de WeChat. Deberás habilitar la función de autorización de página web OAuth 2.0 en la plataforma de la cuenta oficial de WeChat. Registra el dominio de tu Captive Portal como el dominio de devolución de llamada autorizado. Esto garantiza que WeChat solo devuelva códigos de autorización a tu infraestructura de confianza. Después, recupera tu AppID y AppSecret. Paso dos: Configurar la plataforma de Purple. Dirígete a la configuración de métodos de autenticación, habilita el inicio de sesión social de WeChat e ingresa tu AppID y AppSecret. Diseña tu portal cautivo para que el inicio de sesión de WeChat sea visible y destacado. Y, fundamentalmente, configura tus redireccionamientos posteriores a la autenticación. No envíes a los usuarios a una página de éxito genérica. Redirígelos a tu perfil de la cuenta oficial de WeChat para fomentar que te sigan, o a una página de destino promocional específica. Paso tres: Configuración de la infraestructura de red. En tu controlador inalámbrico, configura el SSID de invitados para la autenticación externa del Captive Portal. Ingresa la URL del Captive Portal de Purple. Y aquí está el paso de configuración más importante: establece las entradas del walled garden o lista de permitidos. Debes incluir en la lista de permitidos los dominios API e intervalos de IP de WeChat para que el dispositivo del usuario pueda comunicarse con WeChat antes de que estén completamente autenticados en la red. Si omites este paso, todo el flujo fallará. Ahora hablemos de las mejores prácticas y la resolución de problemas. ¿Qué puede salir mal y cómo evitarlo? Acabo de mencionar el walled garden. Un walled garden mal configurado es la causa número uno de fallas en los inicios de sesión de WeChat en implementaciones de producción. Si el dispositivo no puede comunicarse con los servidores de WeChat antes de la autenticación, el flujo de OAuth no puede iniciarse. Asegúrate de que todos los dominios necesarios de WeChat sean accesibles antes de la autenticación. Prueba esto a fondo antes de salir a producción. Otro problema común es la discrepancia de redireccionamiento de OAuth. Si la URL de devolución de llamada registrada en WeChat no coincide exactamente con la URL de tu Captive Portal, WeChat bloqueará la autorización. Los protocolos y subdominios deben coincidir perfectamente. HTTPS contra HTTP, con o sin una diagonal final - estos detalles importan. Además, ten cuidado con la interferencia del Captive Portal Assistant. Los sistemas operativos móviles utilizan estos mini navegadores para manejar redes cautivas, pero a menudo carecen de funcionalidad completa y pueden interferir con la llamada de la aplicación WeChat. Es posible que debas implementar un script de detección de JavaScript para forzar el inicio de sesión en el navegador nativo del sistema. Por el lado de la estrategia, no desperdicies la interacción posterior al inicio de sesión. Impulsa a los usuarios a seguir tu cuenta oficial, acceder a un mapa interactivo de las instalaciones o ver un menú digital. Mantenlos interesados dentro del ecosistema de WeChat. Y sobre la minimización de datos: solicite únicamente los datos del perfil de WeChat necesarios para sus objetivos de marketing. Solicitar permisos en exceso aumenta las tasas de abandono y complica el cumplimiento de la privacidad. Hablando de cumplimiento, la recopilación de datos a través de WeChat debe cumplir con las leyes de privacidad regionales, incluyendo el GDPR en Europa y la Ley de Protección de Información Personal en China. Asegúrese de que los términos de servicio de su Captive Portal expresen claramente qué datos se recopilan, cómo se utilizan y con quién se comparten. Implemente mecanismos de consentimiento explícito antes de iniciar el flujo de OAuth. Ahora, una ronda rápida de preguntas y respuestas sobre lo que escuchamos con más frecuencia. Pregunta: ¿Puedo usar una cuenta de suscripción de WeChat? No. Necesita una cuenta de servicio verificada. Punto. Pregunta: ¿Necesito incluir en la lista blanca los dominios de WeChat en cada punto de acceso? Sí. El jardín amurallado debe configurarse a nivel de SSID en el controlador inalámbrico. Pregunta: ¿Cuánto tiempo mantiene WeChat válido el token de acceso? Los tokens de acceso de WeChat caducan después de dos horas. Asegúrese de que su plataforma esté configurada para actualizarlos automáticamente. Pregunta: ¿Qué datos obtengo realmente de WeChat? Recibe el OpenID del usuario, su unionid si ha autorizado múltiples aplicaciones, su apodo, la URL de la foto de perfil y su ciudad y país de registro. No recibe su número de teléfono ni su dirección de correo electrónico directamente de WeChat. Para resumir, aquí están los cinco puntos clave de la sesión de hoy. Primero: la autenticación de WeChat WiFi utiliza OAuth 2.0 para reemplazar el ingreso manual de formularios con un inicio de sesión de un solo toque, lo que aumenta las tasas de finalización entre un 20 y un 30 por ciento. Segundo: es obligatoria una cuenta de servicio de WeChat verificada. Las cuentas de suscripción no funcionarán. Tercero: la configuración del jardín amurallado en sus puntos de acceso es el paso más crítico y el que más se omite. Cuarto: las redirecciones posteriores a la autenticación hacia su cuenta oficial convierten a los visitantes transitorios en seguidores digitales a largo plazo. Y quinto: asegúrese de que sus divulgaciones de consentimiento y privacidad cubran tanto los requisitos de GDPR como de PIPL antes de lanzar el servicio. Ese es el informe técnico sobre la integración del inicio de sesión de WeChat WiFi. Para obtener más información sobre la estrategia de WiFi para invitados, análisis y cumplimiento, visite purple dot ai. Gracias por escuchar.

header_image.png

Resumen Ejecutivo

La integración del inicio de sesión de WeChat WiFi transforma un Captive Portal estándar en un motor estratégico de datos de primera mano para los visitantes chinos y el ecosistema más amplio de WeChat. Para los administradores de TI y arquitectos de red, implementar el inicio de sesión de WeChat a través de OAuth 2.0 y RADIUS requiere equilibrar un acceso de invitados sin fricciones con una recopilación de datos segura y en cumplimiento. Esta guía detalla la arquitectura técnica, los pasos de implementación y las consideraciones de seguridad para implementar la autenticación de WeChat WiFi en hardware de red empresarial, incluidos Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist. Muestra cómo la plataforma Guest WiFi de Purple media el flujo de OAuth, mapea los datos del perfil a su CRM y genera interacción mediante redirecciones posteriores al inicio de sesión hacia su Cuenta Oficial de WeChat.

WeChat tiene más de 1,300 millones de usuarios activos mensuales, y los datos de la Organización Mundial del Turismo indican que se proyectaba que los viajeros chinos gastarían $255,000 millones de dólares a nivel internacional en 2023. Para hoteles, tiendas de lujo, aeropuertos y centros de conferencias, ofrecer el inicio de sesión de WeChat WiFi es un canal directo hacia ese grupo demográfico. Purple opera en más de 80,000 puntos activos y registró 440 millones de inicios de sesión en 2024, lo que nos brinda una perspectiva directa de lo que funciona y lo que falla en las implementaciones de producción.


Análisis Técnico Detallado

Cómo Funciona la Autenticación de WeChat WiFi

La autenticación de WeChat WiFi reemplaza el ingreso manual en formularios con un flujo de OAuth 2.0 integrado directamente en la experiencia del Captive Portal. La secuencia involucra cinco componentes que se comunican en un orden definido:

  1. El dispositivo del invitado se conecta al SSID del establecimiento.
  2. El punto de acceso (AP) intercepta el tráfico HTTP no autenticado y redirecciona el dispositivo a un Captive Portal alojado por Purple.
  3. El usuario selecciona la opción de inicio de sesión de WeChat en la página del portal.
  4. El portal inicia una solicitud de autorización OAuth 2.0 al API de la plataforma abierta de WeChat, enviando el AppID del establecimiento y el URI de redirección.
  5. El cliente de WeChat se abre en el dispositivo y solicita al usuario que autorice la conexión.
  6. WeChat devuelve un código de autorización al URI de redirección.
  7. La plataforma Purple intercambia el código de autorización por un token de acceso y recupera los datos de perfil del usuario: OpenID, unionid, apodo, avatar y ubicación registrada.
  8. Purple envía una señal al servidor RADIUS para que envíe un mensaje Access-Accept al punto de acceso.
  9. El punto de acceso otorga acceso a internet y aplica las políticas configuradas (asignación de VLAN, límites de ancho de banda, tiempo de espera de la sesión).
  10. El portal redirecciona al usuario a la Cuenta Oficial de WeChat del establecimiento o a una página de destino personalizada. authentication_flow_diagram.png

Requisitos del tipo de cuenta

Este es el punto de falla único más común en las implementaciones de WeChat WiFi. Debe utilizar una Cuenta de Servicio (服务号) de WeChat verificada. Las cuentas de suscripción no exponen las API de autorización web OAuth 2.0 requeridas para la integración con el Captive Portal. La siguiente tabla resume las diferencias clave:

Característica Cuenta de Servicio Cuenta de Suscripción
Inicio de sesión WiFi con OAuth 2.0 No
Nivel de acceso a la API Completo Restringido
Mensajes push al mes 4 30
Ubicación en la lista de chat Sí (como contacto) No (agrupado en la carpeta de suscripciones)
Integración con WeChat Pay No
Verificación requerida

Obtener una Cuenta de Servicio verificada requiere una licencia comercial china o un proceso de solicitud especial en el extranjero a través de Tencent, lo que conlleva una tarifa de verificación anual de $99 USD y un período de revisión de dos a cuatro semanas.

El Walled Garden: La configuración de red más crítica

El walled garden (también conocido como lista blanca de preautenticación) define las direcciones IP y los dominios a los que un dispositivo puede acceder antes de completar la autenticación en el Captive Portal. Si los dominios de la API de WeChat no están en el walled garden, el dispositivo no puede iniciar el intercambio de OAuth y el inicio de sesión falla silenciosamente en segundo plano.

Como mínimo, se deben incluir en la lista blanca los siguientes dominios:

  • *.weixin.qq.com
  • *.wechat.com
  • *.wx.qq.com
  • res.wx.qq.com
  • mp.weixin.qq.com
  • Los rangos de IP de CDN de WeChat (consulte la documentación de rangos de IP publicada por Tencent, ya que cambian periódicamente)

En Cisco Meraki, configure esto en Wireless > Access Control > Walled Garden. En HPE Aruba, use la lista blanca de Captive Portal Profile. En Juniper Mist, configure la lista de dominios permitidos del Guest Portal.

Integración de RADIUS y aplicación de políticas

En esta arquitectura, Purple funciona como un proxy RADIUS. Después de un intercambio de OAuth de WeChat exitoso, Purple envía un mensaje RADIUS Access-Accept al controlador inalámbrico del establecimiento. El mensaje Access-Accept puede contener atributos RADIUS estándar para aplicar políticas por usuario:

  • Tunnel-Type y Tunnel-Private-Group-ID para la asignación de VLAN (aislando el tráfico de invitados de la red corporativa, en consonancia con las mejores prácticas de segmentación IEEE 802.1X)
  • Session-Timeout para la desconexión automática después de un período definido
  • WISPr-Bandwidth-Max-Up y WISPr-Bandwidth-Max-Down para limitar el ancho de banda

La arquitectura es independiente del hardware. Purple se integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet sin necesidad de cambios de firmware ni servidores locales.

venue_deployment_overview.png


Guía de implementación

Paso 1: Configurar la cuenta de desarrollador de WeChat

Inicie sesión en WeChat Official Accounts Platform (mp.weixin.qq.com). Vaya a Settings and Development > Security Centre > Web Authorisation Domains. Habilite la autorización web OAuth 2.0 y agregue el dominio de su Captive Portal como un dominio de callback autorizado (por ejemplo, wifi.yourvenue.com). WeChat solo enviará códigos de autorización a los dominios registrados aquí - una discrepancia provocará fallas silenciosas.

Obtenga su AppID y AppSecret desde el panel Settings and Development > Basic Configuration. Guarde el AppSecret de forma segura; trátelo como una clave privada.

Paso 2: Configurar Purple

En el portal de Purple, vaya a Authentication > Social Login y habilite WeChat. Ingrese el AppID y el AppSecret. Diseñe la página de inicio del Captive Portal utilizando el editor de arrastrar y soltar de Purple. Coloque el botón de inicio de sesión de WeChat como la llamada a la acción (CTA) principal en la parte superior de la página.

Configure la redirección posterior a la autenticación. Las opciones incluyen:

  • La página para seguir la cuenta oficial de WeChat del establecimiento (recomendado para fomentar la interacción)
  • Una página de destino promocional alojada dentro de un WeChat Mini Program
  • Una página de encuesta utilizando las herramientas de WiFi Analytics de Purple
  • Una página de registro para el programa de lealtad

Habilite el almacenamiento en caché de direcciones MAC en Authentication > Return Visitor Settings. Establezca la duración de la caché de acuerdo con la frecuencia de visita típica (se recomiendan 7 días para tiendas de retail y 30 días para hoteles). Los visitantes recurrentes se conectarán automáticamente sin ver el portal de nuevo, mientras que su visita se seguirá registrando en el panel de analíticas.

Paso 3: Configurar el hardware de red

En su controlador inalámbrico, configure el SSID de invitados para utilizar un Captive Portal externo. Ingrese la URL del portal de Purple como la URL de la página de inicio. Agregue los dominios de WeChat al walled garden. Configure la dirección IP del servidor RADIUS y el secreto compartido proporcionados por Purple.

Antes de lanzar el servicio, pruebe el flujo completo con un dispositivo móvil. Específicamente:

  1. Conéctese al SSID de invitados.
  2. Confirme que el Captive Portal se cargue en el mini navegador del asistente de Captive Portal (CPA).
  3. Toque el botón de inicio de sesión de WeChat y confirme que se abra la aplicación de WeChat.
  4. Autorice la conexión y confirme que se otorgue el acceso a internet.
  5. Confirme que la redirección posterior al inicio de sesión funcione correctamente.

Mejores prácticas

Optimice el walled garden. Un walled garden mal configurado es la causa principal de las fallas de inicio de sesión de WeChat en producción. Realice pruebas antes del lanzamiento y vuelva a probar después de cualquier actualización de firmware de red, ya que algunos controladores restablecen las entradas de la lista de permitidos durante las actualizaciones.

Impulse el compromiso posterior al inicio de sesión. El momento posterior a la autenticación es el punto de mayor atención en la experiencia de WiFi para invitados. Redirija a los usuarios a la página de seguimiento de su Cuenta Oficial. Los visitantes que siguen su cuenta siguen estando localizables a través de notificaciones push mucho después de abandonar el establecimiento.

Implemente el almacenamiento en caché de MAC para visitantes recurrentes. Exigir una autenticación repetida en cada visita degrada la experiencia. El almacenamiento en caché de MAC elimina la fricción para los visitantes recurrentes, al tiempo que registra la visita para fines analíticos. Consulte WiFi Analytics de Purple para obtener informes sobre el tiempo de permanencia y las visitas recurrentes.

Aplique la minimización de datos. Solicite únicamente los campos de perfil de WeChat que su CRM realmente utiliza. Solicitar permisos innecesarios aumenta la tasa de abandono de la autorización y añade complejidad al cumplimiento de GDPR. Para la mayoría de los establecimientos, el OpenID, el apodo y el avatar son suficientes para la personalización.

Aísle el tráfico de invitados mediante VLANs. Asigne a los invitados autenticados a través de WeChat a una VLAN dedicada, aislada de sus redes corporativas o de punto de venta (POS). Esto cumple con los requisitos de aislamiento de red de PCI DSS y limita el radio de impacto de cualquier incidente de seguridad por el lado del invitado. Para un análisis completo de la arquitectura de seguridad WiFi, consulte nuestra guía de seguridad WiFi para empresas .

Cumpla con GDPR y PIPL. Muestre un aviso de privacidad claro en el portal cautivo antes de que el usuario inicie el flujo de OAuth de WeChat. El aviso debe identificar al responsable del tratamiento de los datos, enumerar las categorías de datos recopiladas de WeChat, indicar la base legal para el procesamiento y enlazar a la política de privacidad completa. Para obtener orientación detallada, consulte nuestra guía de cumplimiento de GDPR para WiFi .

-

Resolución de problemas y mitigación de riesgos

Discrepancia en la redirección de OAuth

Si la URL de retorno registrada en la consola de desarrollador de WeChat no coincide exactamente con la URL que Purple utiliza para la redirección, WeChat devuelve un código de error y bloquea la autorización. Verifique si hay discrepancias en los protocolos (HTTP frente a HTTPS), barras diagonales al final y diferencias en los subdominios. El dominio registrado debe coincidir exactamente con la cadena de texto.

Interferencia del Asistente de Captive Portal (CPA)

Los sistemas operativos móviles utilizan mini-navegadores CPA para detectar y gestionar las redes de Captive Portal. Estos mini-navegadores a menudo carecen de la capacidad de abrir aplicaciones nativas, lo que interrumpe la transferencia a la aplicación WeChat en el flujo de OAuth. Las mitigaciones incluyen:

  • Implementar una redirección de JavaScript que detecte el entorno CPA y abra el navegador completo del sistema antes de iniciar el flujo de OAuth.
  • Mostrar instrucciones claras en el portal cautivo que indiquen a los usuarios que abran la página en un navegador completo si el botón de WeChat no responde.

Caducidad de tokens y sesiones inactivas

Los tokens de acceso de WeChat expiran después de dos horas. Si tu plataforma no actualiza el token, el registro de CRM del usuario dejará de actualizarse después de la sesión inicial. Configura los ajustes de actualización de tokens de Purple para mantener un token activo durante la visita del invitado.

Riesgo geopolítico y regulatorio

WeChat está sujeto a la regulación del gobierno chino y a la política de la plataforma Tencent. El acceso a la API puede suspenderse o modificarse sin previo aviso. Para mitigar este riesgo, asegúrate de que tu Captive Portal admita múltiples métodos de autenticación (correo electrónico, SMS, otros inicios de sesión de redes sociales) para que una interrupción de la API de WeChat no deje a toda tu red de WiFi para invitados fuera de línea. Los portales multicanal de Purple admiten de forma nativa esta arquitectura de respaldo.

-

ROI e impacto empresarial

Implementar la autenticación de WiFi con WeChat ofrece retornos medibles en tres dimensiones.

Mayores tasas de captura de datos. El inicio de sesión con redes sociales elimina la fricción de llenar formularios. Los establecimientos que utilizan las opciones de inicio de sesión con redes sociales de Purple reportan tasas de finalización de autenticación de un 20 a 30% más altas que los portales comparables que solo usan correo electrónico (datos internos de Purple, 2024). En un establecimiento que gestiona 500 conexiones de WiFi para invitados al día, un aumento del 25% significa 125 perfiles verificados adicionales capturados diariamente.

Crecimiento de seguidores de la Cuenta Oficial. Redirigir a los usuarios autenticados a la página de seguimiento de la Cuenta Oficial convierte el flujo de visitantes transitorios en una audiencia digital accesible. Un hotel con 200 visitantes autenticados con WeChat al día que logra una tasa de seguimiento del 40% gana 80 nuevos seguidores de la Cuenta Oficial diariamente - seguidores que pueden recibir notificaciones push segmentadas sobre ofertas para volver a visitarlos, actualizaciones del programa de lealtad y promociones de temporada.

Visibilidad operativa. La plataforma de WiFi Analytics de Purple correlaciona las sesiones autenticadas con WeChat con el tiempo de permanencia, la frecuencia de visitas y los datos de movimiento a nivel de zona. Esto proporciona a los directores de operaciones de los establecimientos los datos necesarios para optimizar el personal, la distribución y el momento de las promociones. Para los establecimientos de hotelería , estos datos se integran directamente con los sistemas PMS para enriquecer los perfiles de los huéspedes.

Para los entornos de comercio minorista , la autenticación de WeChat combinada con la plataforma de analítica de Purple replica la riqueza de datos de nivel de comercio electrónico en una tienda física - una capacidad que se vuelve cada vez más valiosa a medida que la desaparición de las cookies de terceros reduce la efectividad del retargeting digital.

-

Para obtener una guía relacionada, consulte nuestra guía de cumplimiento de WiFi GDPR y nuestra guía de seguridad de WiFi empresarial . Para conocer cómo se implementa Purple en sectores específicos, visite nuestras páginas de hotelería , comercio minorista , atención médica y transporte .

Definiciones clave

OAuth 2.0

Un protocolo de autorización estándar de la industria que permite a un usuario otorgar a una aplicación de terceros acceso a los datos de su cuenta en otro servicio sin compartir su contraseña. En la autenticación de WeChat WiFi, el Captive Portal es la aplicación de terceros y WeChat es el proveedor de identidad.

El mecanismo subyacente para todos los inicios de sesión de WiFi a través de redes sociales. Los equipos de TI lo encuentran al configurar el AppID, el AppSecret y el URI de redireccionamiento en la consola de desarrollador de WeChat y en la plataforma de Purple.

Captive Portal

Una página web que intercepta el tráfico de red de un dispositivo y requiere que el usuario se autorice o acepte los términos antes de concederle acceso a Internet. Funciona redirigiendo todas las solicitudes HTTP a la URL del portal hasta que se completa la autenticación.

El componente orientado al usuario del sistema de inicio de sesión de WeChat WiFi. Purple aloja y gestiona el Captive Portal como una superposición en la nube sobre el hardware existente del establecimiento.

Walled garden

Una lista blanca de preautenticación de direcciones IP y dominios a los que un dispositivo puede acceder antes de completar el inicio de sesión en el Captive Portal. Es necesario para permitir que el dispositivo se comunique con los servidores de autenticación de WeChat durante el flujo de OAuth.

El elemento que se configura de forma incorrecta con más frecuencia en las implementaciones de WeChat WiFi. Debe configurarse a nivel de SSID en el controlador inalámbrico.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona autenticación, autorización y contabilidad centralizadas para el acceso a la red. Después de un intercambio de WeChat OAuth exitoso, Purple envía un mensaje RADIUS Access-Accept al punto de acceso para otorgar acceso a Internet.

El protocolo que conecta la plataforma de identidad de Purple con el hardware de red del establecimiento. Los equipos de TI configuran las direcciones IP del servidor RADIUS y los secretos compartidos en el controlador inalámbrico.

Cuenta de Servicio de WeChat (服务号)

Una categoría de Cuenta Oficial de WeChat diseñada para empresas que ofrece acceso completo a la API, incluida la autorización de páginas web OAuth 2.0. Aparece como un contacto en la lista de chat del usuario. Requiere registro comercial en China o verificación en el extranjero.

El tipo de cuenta obligatorio para el inicio de sesión de WeChat WiFi. Las cuentas de suscripción no se pueden utilizar para este propósito.

OpenID

Un identificador único asignado por WeChat a un usuario específico para una Cuenta Oficial específica. Dos Cuentas Oficiales diferentes recibirán diferentes OpenIDs para el mismo usuario.

La clave principal utilizada por el CRM para identificar y rastrear a los usuarios individuales a lo largo de las sesiones de WiFi.

Unionid

Un identificador único asignado por WeChat a un usuario específico en todas las Cuentas Oficiales y Mini Programas registrados bajo la misma cuenta de plataforma abierta de WeChat. Permite el reconocimiento de usuarios en diferentes productos.

Relevante para marcas con múltiples puntos de contacto de WeChat (por ejemplo, una cadena de tiendas que cuenta tanto con un portal de WiFi como con un Mini Programa de compras) que desean unificar el perfil de usuario en todas las interacciones.

Almacenamiento en caché de direcciones MAC

Una función de red que almacena el identificador de hardware único de un dispositivo (dirección MAC) después de la autenticación inicial, lo que permite que la red otorgue acceso automáticamente en conexiones posteriores sin tener que presentar el Captive Portal de nuevo.

Se utiliza para mejorar la experiencia de los visitantes recurrentes. Purple registra la visita recurrente para fines analíticos, incluso cuando no se muestra el portal.

Asistente de Captive Portal (CPA)

El mininavegador que inician automáticamente iOS y Android cuando detectan una red que requiere autenticación de Captive Portal. Los CPAs tienen una funcionalidad limitada y es posible que no admitan las llamadas a aplicaciones nativas requeridas para el flujo de WeChat OAuth.

Los equipos de TI deben probar el flujo de inicio de sesión de WeChat específicamente dentro del entorno del CPA e implementar la detección de JavaScript para redirigir al navegador completo del sistema si es necesario.

VLAN

Virtual Local Area Network. Un segmento de red lógico que aísla el tráfico de otros segmentos en la misma infraestructura física. Se utiliza para separar el tráfico de WiFi de invitados de las redes corporativas o de puntos de venta (POS).

Los atributos RADIUS devueltos por Purple pueden asignar a los invitados autenticados por WeChat a una VLAN específica, cumpliendo con los requisitos de segmentación de red de PCI DSS.

Ejemplos resueltos

Una marca de venta al por menor de lujo en Londres desea ofrecer un acceso WiFi sin fricciones a los turistas chinos, al mismo tiempo que aumenta los seguidores en su Cuenta Oficial de WeChat. Actualmente utilizan puntos de acceso Cisco Meraki y un portal estándar de captura de correo electrónico. Su equipo de TI tiene dos semanas para realizar la implementación antes de una campaña importante del Año Nuevo Chino.

Semana uno: Registrar y verificar una Cuenta de Servicio de WeChat si aún no se ha hecho (permita de dos a cuatro semanas para la aprobación de Tencent, por lo que este paso debería haber comenzado antes; si no es así, utilice una entidad china externa verificada como medida temporal). Configure la consola de desarrollador de WeChat con el dominio de retorno que coincida con la URL del portal de Purple. En la plataforma de Purple, habilite el inicio de sesión social de WeChat, ingrese el AppID y el AppSecret, y diseñe la página de bienvenida con WeChat como la opción principal de inicio de sesión. Configure el redireccionamiento posterior a la autenticación hacia la página de seguimiento de la Cuenta Oficial de WeChat de la marca. Semana dos: En el panel de Meraki, actualice el SSID de invitados para que apunte a la URL del portal de Purple. Agregue todos los dominios de la API de WeChat a la lista de acceso permitido de Meraki en Wireless > Access Control. Configure los detalles del servidor RADIUS. Pruebe todo el flujo de extremo a extremo desde un dispositivo iOS y Android. Habilite el almacenamiento en caché de MAC para el reconocimiento de visitantes recurrentes por 30 días. Lance la solución.

Comentario del examinador: Este enfoque utiliza el hardware de Meraki existente sin ningún cambio de firmware. El elemento del camino crítico es la verificación de la cuenta de WeChat; esto debe iniciarse con suficiente anticipación a cualquier fecha límite de campaña. El redireccionamiento posterior al inicio de sesión a la página de seguimiento de la Cuenta Oficial es la decisión de configuración de mayor valor, ya que convierte un inicio de sesión único de WiFi en un canal de marketing a largo plazo.

Un estadio con capacidad para 15,000 personas alberga una serie de eventos internacionales con un número importante de asistentes de habla china. El director de TI informa que el 35% de los invitados abandonan el formulario de inicio de sesión de WiFi antes de completarlo. La red utiliza puntos de acceso HPE Aruba gestionados a través de Aruba Central.

Implemente el Captive Portal de Purple con WeChat como la opción de inicio de sesión social principal, junto con opciones de respaldo de correo electrónico y SMS. Configure el perfil del Captive Portal de Aruba Central para redireccionar a Purple y agregue los dominios de WeChat a la lista de permitidos. Implemente un script de detección de CPA de JavaScript en la página de bienvenida para forzar el flujo de OAuth hacia el navegador nativo del sistema, omitiendo el mini navegador de CPA de Aruba. Configure los atributos de RADIUS para asignar a los aficionados autenticados a una VLAN de invitados dedicada, aislada de la red operativa del estadio. Establezca el tiempo de espera de la sesión en cuatro horas para cubrir la duración típica de un evento sin requerir una nueva autenticación. Después de la autenticación, redireccione a los aficionados a un Mini Programme de WeChat que aloje el programa del evento, resultados en vivo y un servicio de pedido de alimentos.

Comentario del examinador: El script de detección de CPA es el diferenciador técnico clave aquí. Sin él, la llamada de la aplicación de WeChat falla en el mini navegador y los usuarios experimentan un flujo interrumpido. El redireccionamiento al Mini Programme maximiza la interacción posterior a la autenticación al brindar a los aficionados un valor relevante e inmediato, lo que también aumenta la probabilidad de que sigan la Cuenta Oficial del recinto.

Preguntas de práctica

Q1. El nuevo inicio de sesión de WeChat WiFi de su establecimiento está fallando. Los invitados tocan el botón de WeChat en la página de inicio, pero se agota el tiempo de espera de la página antes de que se abra la aplicación de WeChat. El panel de Cisco Meraki muestra que el SSID está en línea y la URL del portal de Purple está configurada correctamente. ¿Cuál es la causa más probable y cómo se soluciona?

Sugerencia: Considere qué acceso a la red tiene el dispositivo antes de que complete la autenticación.

Ver respuesta modelo

El walled garden en el SSID de Meraki está mal configurado. El dispositivo no puede llegar a los dominios de la API de WeChat antes de la autenticación, por lo que el intercambio de OAuth no puede iniciarse. Solución: navegue a Wireless > Access Control en el panel de Meraki, localice la sección Walled Garden y agregue los dominios de WeChat requeridos, incluidos *.weixin.qq.com, *.wechat.com y *.wx.qq.com. Pruebe intentando el flujo de inicio de sesión nuevamente desde un dispositivo que no se haya conectado previamente al SSID.

Q2. Un director de marketing desea utilizar su cuenta de suscripción de WeChat (订阅号) existente para habilitar el inicio de sesión a la WiFi porque le permite publicar artículos diariamente a sus seguidores. Le piden que configure la integración. ¿Cómo responde?

Sugerencia: Revise los niveles de acceso de la API para los diferentes tipos de cuentas de WeChat.

Ver respuesta modelo

Infórmeles que una cuenta de suscripción no se puede utilizar para la autenticación de WiFi. Las API de autorización de páginas web de OAuth 2.0 requeridas para la integración con el Captive Portal solo están disponibles para cuentas de servicio (服务号) verificadas. Necesitarán registrar una cuenta de servicio. Esto requiere una licencia comercial china o una solicitud en el extranjero a través del proceso especial de Tencent, que toma de dos a cuatro semanas y cuesta $99 dólares al año. La cuenta de suscripción puede permanecer activa para la publicación de contenido; los dos tipos de cuenta sirven para propósitos diferentes y pueden coexistir.

Q3. Después de una implementación exitosa de WeChat WiFi, el equipo de TI nota que los usuarios que se autenticaron hace tres semanas ya no aparecen en el CRM con datos de visitas actualizados, a pesar de que se están conectando a la red. ¿Cuál es la causa más probable?

Sugerencia: Considere la configuración de gestión de sesiones en Purple y la duración de la caché MAC.

Ver respuesta modelo

Es probable que la duración de la caché MAC esté configurada en un valor inferior a tres semanas (por ejemplo, 14 días), por lo que a los usuarios recurrentes se les concede acceso a través de la caché MAC sin activar un nuevo evento de autenticación o actualización del CRM. Alternativamente, el token de acceso de WeChat para esos usuarios ha caducado y la plataforma no lo está renovando. Solución: extienda la duración de la caché MAC a 30 días en la configuración de visitantes recurrentes de Purple y asegúrese de que la configuración de renovación de tokens esté activa. Confirme también que Purple esté registrando las visitas por caché MAC como eventos de visita recurrente en el panel de analíticas, incluso cuando no se muestre el portal.

Q4. Su establecimiento opera tanto en el Reino Unido como en China continental. Desea implementar un sistema unificado de autenticación de WeChat WiFi. ¿Qué obligaciones de cumplimiento debe abordar antes de ponerse en marcha?

Sugerencia: Se aplican dos regímenes de privacidad distintos a las dos geografías.

Ver respuesta modelo

Debe cumplir tanto con el GDPR (aplicable a los usuarios en el Reino Unido y la UE) como con la Ley de Protección de Información Personal de China (PIPL, aplicable a los usuarios en China continental). Los requisitos clave incluyen: mostrar un aviso de privacidad claro en la splash page antes de iniciar el flujo de OAuth, identificar al controlador de datos y enumerar las categorías de datos recopilados de WeChat, establecer la base legal para el procesamiento bajo cada régimen (intereses legítimos o consentimiento bajo GDPR; consentimiento bajo la PIPL), proporcionar un mecanismo para que los usuarios retiren el consentimiento y soliciten la eliminación, y garantizar que existan mecanismos de transferencia de datos si los datos de perfil de WeChat fluyen entre jurisdicciones. Consulte la guía de cumplimiento de GDPR de Purple y a su asesor legal para conocer los requisitos específicos de cada jurisdicción.