Voir la transcription du podcast
SCRIPT DE PODCAST : Intégration d'Alta Labs avec Purple WiFi : Configuration et portail captif
Plateforme d'intelligence Purple WiFi - Série de briefings techniques
Durée : Environ 10 minutes
Voix : Anglais britannique, ton de consultant senior - confiant, conversationnel, autoritaire
---
[INTRO - 1 MINUTE]
Bienvenue dans la série de briefings techniques de Purple. Je suis votre hôte, et aujourd'hui nous détaillons l'intégration entre les points d'accès Alta Labs et la plateforme d'intelligence Purple WiFi.
Si vous êtes responsable informatique, architecte réseau ou directeur des opérations d'un site et que vous cherchez à déployer une solution de WiFi invité robuste et évolutive, ce briefing est pour vous. Nous allons aborder la configuration spécifique des points d'accès Alta Labs AP6 et AP6 Pro, la manière de configurer la redirection vers le portail captif externe, et les paramètres indispensables de walled garden requis pour que les connexions via les réseaux sociaux fonctionnent réellement dans la pratique. Nous aborderons également AltaPass - l'implémentation par Alta Labs des clés pré-partagées privées, ou PPSK - et comment vous pouvez l'utiliser pour segmenter des environnements multi-locataires sans dégrader vos performances RF avec une prolifération de SSID.
C'est parti.
---
[APPROFONDISSEMENT TECHNIQUE - 5 MINUTES]
L'intégration entre Alta Labs et Purple repose sur deux concepts réseau fondamentaux : la redirection HTTP pour le portail captif, et RADIUS pour l'authentification et la comptabilisation.
Lorsqu'un visiteur entre dans votre établissement - par exemple, un magasin de détail ou le hall d'un hôtel - et se connecte à votre réseau invité ouvert ou WPA3-OWE, le point d'accès Alta Labs joue le rôle de contrôleur d'accès. Il intercepte les requêtes HTTP initiales du client et les redirige vers votre page de connexion personnalisée Purple.
Pour configurer cela dans la plateforme Alta Labs Cloud Management, accédez à vos paramètres WiFi, sélectionnez votre SSID invité, et sous les Paramètres avancés, définissez le type de réseau sur Invité. Cela est essentiel car cela applique automatiquement l'isolation des clients, empêchant les appareils de communiquer latéralement sur le réseau. Ensuite, dans la section Hotspot, sélectionnez Externe et saisissez l'URL de redirection Purple fournie dans les paramètres de votre site, ainsi que votre secret d'autorisation.
Mais c'est ici que la plupart des déploiements rencontrent un obstacle : le walled garden.
Le walled garden est la liste des domaines et des adresses IP auxquels un appareil est autorisé à accéder avant de s'être authentifié. Si vous souhaitez que vos invités se connectent via Google, Facebook ou Apple, leurs appareils doivent pouvoir joindre ces serveurs OAuth alors qu'ils sont encore dans un état pré-authentifié.
Vous devez explicitement ajouter à la liste d'autorisation les domaines d'infrastructure Purple - comme region1.purpleportal.net et cloudfront.net. Ensuite, vous devez ajouter les sondes de portail captif du système d'exploitation : captive.apple.com pour iOS, et connectivitycheck.gstatic.com pour Android. Si vous les bloquez, le téléphone ne sait pas qu'il est derrière un portail captif, et la page de connexion ne s'affiche jamais.
Enfin, vous ajoutez les domaines de connexion sociale. Pour Google, il s'agit d'accounts.google.com, oauth2.googleapis.com et gstatic.com. Pour Facebook, il s'agit de facebook.com, graph.facebook.com et des domaines fbcdn.net. Une liste blanche d'adresses IP statiques ne fonctionnera pas ici car ces fournisseurs utilisent des réseaux de diffusion de contenu dynamiques. Vous devez utiliser des noms de domaine et vous assurer que votre contrôleur effectue une résolution DNS dynamique.
Une fois que l'utilisateur a terminé la connexion sur la page d'accueil de Purple, le serveur RADIUS de Purple renvoie un message Access-Accept au point d'accès Alta Labs. Le point d'accès supprime alors la restriction du portail captif (walled garden) et accorde à l'appareil un accès complet à Internet. C'est un flux propre et sécurisé qui capture des données de première main tout en préservant l'intégrité du réseau.
Maintenant, parlons de la segmentation multi-locataire.
Dans des environnements tels que les bureaux intelligents, les résidences étudiantes ou les immeubles collectifs, vous devez souvent fournir des réseaux sécurisés et isolés pour différents groupes. Historiquement, les équipes informatiques diffusaient un SSID distinct pour chaque locataire. C'est une très mauvaise pratique. Cela engendre une surcharge de gestion massive et détruit vos performances sans fil en raison de la surcharge des trames de balise (beacon frames).
Alta Labs résout ce problème avec AltaPass, leur version des clés pré-partagées privées (PPSK). Avec AltaPass, vous diffusez un seul SSID - appelons-le BuildingWiFi. Mais vous générez des mots de passe uniques pour différents utilisateurs ou appareils.
Lorsque le locataire A saisit son mot de passe spécifique, le point d'accès l'assigne de manière dynamique au VLAN 101 avec une limite de bande passante de 100 mégabits. Lorsque l'équipe de direction saisit son mot de passe sur le même SSID, elle est basculée sur le VLAN 200 avec une bande passante illimitée. Vous pouvez même créer un mot de passe pour les appareils IoT, comme les thermostats intelligents, qui les affecte à un VLAN isolé et contourne entièrement le Captive Portal.
Un seul SSID. Des mots de passe illimités. Une isolation complète. Il s'agit d'une mise en réseau basée sur l'identité (Identity-Based Networking) à la périphérie, et c'est une solution véritablement élégante à un problème qui perturbe les déploiements multi-locataires depuis des années.
Laissez-moi vous donner un exemple concret de la manière dont cela fonctionne en pratique. Prenons l'exemple d'un complexe d'appartements de 72 unités - un type de déploiement réel pour lequel Alta Labs a été largement utilisé. Au lieu de diffuser 72 SSIDs distincts, l'administrateur réseau crée un seul SSID et génère un mot de passe unique pour chaque unité. Chaque mot de passe est associé à un VLAN et à un sous-réseau dédiés. Les résidents de l'offre de base bénéficient de 100 mégabits. Les résidents qui ont payé pour l'offre premium bénéficient de 300 mégabits. L'équipe de gestion de l'immeuble bénéficie d'un accès illimité. Le système d'automatisation du bâtiment - serrures de porte, CVC, ascenseurs - dispose de son propre VLAN isolé avec inspection approfondie des paquets activée. Le tout à partir d'un seul SSID. L'environnement RF est plus propre, les performances sont plus élevées et la gestion est considérablement simplifiée.
Maintenant, passons à la configuration 802.1X pour le WiFi sécurisé du personnel.Pour votre réseau personnel, vous ne devriez pas du tout utiliser de clé partagée. Vous devriez utiliser WPA2 ou WPA3 Enterprise avec authentification 802.1X. Dans la plateforme Alta Labs, vous configurez cela en sélectionnant votre SSID personnel, en définissant le mode de sécurité sur WPA2-Enterprise ou WPA3-Enterprise, et en orientant le point d'accès vers votre serveur RADIUS.
Si vous l'intégrez avec le produit SecurePass de Purple, Purple agit en tant qu'intermédiaire RADIUS, se connectant à votre fournisseur d'identité - que ce soit Microsoft Entra ID, Okta ou Google Workspace - et renvoyant l'attribution de VLAN appropriée dans le message Access-Accept. Le point d'accès Alta Labs lit l'attribut Tunnel-Private-Group-Id de la réponse RADIUS et place automatiquement l'appareil sur le bon VLAN.
Une note importante sur l'attribution dynamique de VLAN avec Alta Labs : lors de la configuration de VLAN attribués par RADIUS, définissez le VLAN par défaut sur le SSID sur VLAN 1 ou laissez-le non étiqueté. Il existe un comportement connu selon lequel si le VLAN par défaut est défini sur une valeur spécifique, le point d'accès peut remplacer le VLAN attribué par RADIUS par le VLAN par défaut configuré. Définir la valeur par défaut sur VLAN 1 garantit que l'attribution RADIUS est prioritaire.
- - -
[RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER - 2 MINUTES]
Lorsque vous déployez cela, je souhaite souligner quelques recommandations clés.
Premièrement, testez toujours le flux de votre Captive Portal avec un appareil neuf. N'utilisez pas votre propre téléphone si vous vous êtes déjà connecté au réseau pendant la phase de test. Votre appareil mémorise l'autorisation d'adresse MAC ou possède des entrées DNS en cache, ce qui masquera les échecs du walled garden. Prenez une tablette qui n'a jamais vu le réseau, connectez-la et vérifiez que l'assistant de Captive Portal de l'OS se lance automatiquement.
Deuxièmement, attention à l'excès de liste blanche. Je vois des ingénieurs s'énerver face à des erreurs de connexion sociale et simplement mettre sur liste blanche des domaines génériques entiers ou des blocs d'adresses IP massifs. Cela crée une faille de sécurité permettant aux utilisateurs avertis de contourner entièrement votre Captive Portal. Limitez-vous aux domaines spécifiques requis pour le flux OAuth.
Troisièmement, lors du déploiement de AltaPass PPSK avec des VLAN dynamiques, assurez-vous que l'ensemble de votre infrastructure de commutation est configurée correctement. Les ports de switch connectés à vos points d'accès Alta Labs doivent être configurés en trunks, permettant à tous les VLAN étiquetés de passer vers la passerelle. Si le point d'accès étiquette le trafic pour le VLAN 101, mais que le port du switch est configuré en mode d'accès sur le VLAN 1, le trafic est abandonné et le client n'obtient pas d'adresse IP.
Quatrièmement, mettez en œuvre un examen trimestriel de la configuration de votre walled garden. Les fournisseurs OAuth et les réseaux de diffusion de contenu modifient leurs structures de domaine. Apple a mis à jour ses domaines de connexion Sign In deux fois en 2023. Un walled garden qui était correct lors du déploiement perdra de sa cohérence sans maintenance active.
- - -
[Q&R RAPIDES - 1 MINUTE]
Passons en revue quelques questions rapides que nous recevons du terrain.
Question une : Puis-je utiliser WPA3 avec le Captive Portal Purple sur le matériel Alta Labs ?
Oui. Vous devriez utiliser WPA3-OWE, qui signifie Opportunistic Wireless Encryption. Cela chiffre les données à l'état hertzien, protégeant ainsi la confidentialité des invités, tout en fonctionnant comme un réseau ouvert qui déclenche la redirection vers le Captive Portal. C'est le bon choix pour tout nouveau déploiement de WiFi invité en 2026.
Deuxième question : Quels ports dois-je ouvrir sur mon pare-feu pour le trafic RADIUS ?
Les serveurs RADIUS de Purple communiquent via le port UDP 1812 pour l'authentification et le port UDP 1813 pour la comptabilisation. Assurez-vous que votre pare-feu périphérique autorise le trafic sortant sur ces ports depuis les points d'accès Alta Labs vers l'infrastructure Purple.
Troisième question : Puis-je utiliser AltaPass PPSK aux côtés du Captive Portal de Purple sur le même SSID ?
Oui, et c'est en fait une configuration très utile. Vous pouvez créer un mot de passe AltaPass qui contourne le Captive Portal pour les appareils connus - comme vos terminaux de point de vente ou votre signalétique numérique - tandis que les connexions standard au même SSID passent toujours par la page d'accueil de Purple. Cela vous donne un SSID unique et propre qui gère à la fois les appareils authentifiés et les utilisateurs invités.
---
[RÉSUMÉ ET PROCHAINES ÉTAPES - 1 MINUTE]
Pour conclure : L'intégration d'Alta Labs avec Purple WiFi vous offre une plateforme sécurisée et évolutive pour capturer des données de première partie et offrir une expérience invité personnalisée aux couleurs de votre marque.
Gardez à l'esprit les trois piliers d'un déploiement réussi. Tout d'abord, configurez avec précision la redirection du point d'accès externe et les paramètres RADIUS dans la plateforme Alta Labs Cloud Management. Deuxièmement, définissez minutieusement vos domaines de walled garden pour vous assurer que les requêtes de test du système d'exploitation et les connexions via les réseaux sociaux fonctionnent correctement. Et troisièmement, exploitez AltaPass PPSK pour mettre en œuvre une mise en réseau basée sur l'identité, en segmentant votre trafic sans polluer votre espace hertzien avec des SSIDs inutiles.
Purple opère sur 80 000 sites actifs et a traité 440 millions de connexions en 2024. La plateforme est certifiée ISO 27001, conforme au GDPR, et conçue pour s'adapter aussi bien à un simple hôtel-boutique qu'à un parc immobilier commercial national. En associant cela aux performances et à la flexibilité du matériel Alta Labs, vous disposez d'une suite WiFi d'entreprise incontournable.
Si vous suivez ce guide, vous offrirez une expérience WiFi fluide et conforme, qui ravira à la fois votre équipe marketing et votre équipe de sécurité.
Merci d'avoir écouté la série de fiches techniques de Purple. À la prochaine fois, gardez vos réseaux sécurisés et vos données exploitables.
