Passer au contenu principal
Français

Aruba Central and Purple WiFi: Cloud-Managed Integration

Un guide de référence technique complet pour intégrer Aruba Central avec la plateforme d'intelligence WiFi invité hébergée dans le cloud de Purple. Ce guide couvre l'architecture, la configuration étape par étape des portails captifs externes et de RADIUS, ainsi que les stratégies de déploiement multi-sites pour les équipes informatiques d'entreprise.

📖 7 min de lecture📝 1,633 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Aruba Central et Purple WiFi : Intégration gérée dans le cloud. Un guide pour les responsables informatiques. Bienvenue. Si vous gérez le WiFi invité sur plusieurs sites et que vous utilisez Aruba Central, cet épisode vous concerne directement. Je vais vous expliquer exactement comment Purple s'intègre à Aruba Central — l'architecture, les étapes de configuration, les modèles de déploiement multi-sites et les pièges à éviter. Il s'agit d'un guide pratique, pas d'une présentation commerciale. Entrons dans le vif du sujet. Première partie : Contexte et importance. Aruba Central est la plateforme de gestion réseau dans le cloud de HPE. C'est le plan de contrôle de dizaines de milliers de bornes d'accès Aruba Instant déployées dans des hôtels, des chaînes de magasins, des stades, des centres de conférence et des bâtiments publics. Si vous êtes passé de contrôleurs Aruba sur site — les Mobility Controllers ou Mobility Conductors — à Central, vous avez déjà constaté la transition d'une configuration par site, très axée sur la CLI, vers une gestion des politiques basée sur des groupes et poussée depuis le cloud. Ce changement modifie fondamentalement la manière dont vous intégrez une plateforme de WiFi invité comme Purple. Sur un contrôleur Aruba traditionnel sur site, vous configureriez la redirection du Captive Portal et l'authentification RADIUS directement sur le contrôleur lui-même. Le contrôleur était le point d'application des politiques, situé dans votre centre de données ou votre salle informatique. Avec Aruba Central, l'application des politiques se fait toujours au niveau de la borne d'accès — mais la configuration est poussée depuis le cloud. Cela signifie que vos points de contact d'intégration sont différents. Vous travaillez avec des modèles de groupe, des profils SSID et des objets de profil de Captive Portal externe qui résident dans la hiérarchie de configuration d'Aruba Central, et non sur un équipement physique dans une baie. Purple se positionne au-dessus de tout cela en tant que plateforme intelligente de WiFi invité hébergée dans le cloud. Elle fournit le Captive Portal — la page d'accueil que les invités voient —, gère la logique d'authentification, capture les données de première partie avec consentement et transmet les analyses à vos équipes marketing et opérationnelles. La question est : comment connecter proprement ces deux plateformes cloud, à grande échelle, sur potentiellement des centaines de sites ? Deuxième partie : L'architecture technique. Laissez-moi vous décrire le flux de données lorsqu'un invité se connecte. L'appareil d'un invité s'associe à votre SSID invité — appelons-le Hotel-Guest — qui est diffusé par une borne d'accès Aruba Instant. La borne d'accès a été configurée, via Aruba Central, avec un profil de Captive Portal externe. Ce profil contient deux informations critiques : l'URL de redirection, qui pointe vers le serveur de Captive Portal de Purple, et les détails du serveur RADIUS, qui pointent vers le point de terminaison RADIUS-as-a-Service de Purple. Lorsque l'invité ouvre un navigateur, l'AP intercepte la requête HTTP et la redirige vers la splash page de Purple. L'invité s'authentifie — via un login social, un e-mail, un SMS ou un formulaire personnalisé, selon votre configuration Purple. Le backend de Purple renvoie ensuite un message RADIUS Access-Accept à l'AP, qui accorde à l'invité l'accès à Internet et le fait passer du rôle de pré-authentification au rôle d'invité authentifié. Les paquets de comptabilité RADIUS circulent tout au long de la session, offrant à Purple une visibilité sur la durée de la session et l'utilisation des données. La différence clé par rapport à Aruba sur site : dans Aruba Central, vous configurez le profil de Captive Portal externe une seule fois, au niveau du groupe, et il se propage à chaque AP de ce groupe. Vous ne touchez pas aux AP individuels. C'est extrêmement puissant pour les déploiements multi-sites, mais cela nécessite de définir correctement la structure du groupe avant de commencer. Aruba Central organise les appareils en Groupes, et au sein de ces groupes, vous pouvez avoir des Sites. Un Groupe est l'unité de configuration — les SSIDs, les profils radio et les politiques de sécurité résident tous au niveau du groupe. Les Sites sont l'unité de localisation et de surveillance. Pour une chaîne hôtelière, une structure logique consiste à créer un groupe par type de propriété — par exemple, Hôtels de luxe et Établissements économiques — chaque hôtel physique constituant un site distinct au sein du groupe approprié. La configuration de Purple s'associe ensuite aux groupes : un profil de Captive Portal externe par groupe, pointant vers le même endpoint RADIUS de Purple, mais potentiellement avec des thèmes de splash page différents par site grâce à la personnalisation au niveau du site de Purple. Le walled garden est un élément de configuration critique que les équipes configurent souvent de manière incorrecte. Avant qu'un invité ne s'authentifie, l'AP n'autorise que le trafic DNS et DHCP, ainsi que les domaines que vous ajoutez explicitement à la liste blanche. Pour que Purple fonctionne, vous devez inscrire sur liste blanche le domaine du Captive Portal de Purple, tous les domaines CDN utilisés par Purple pour les ressources, ainsi que les domaines des fournisseurs de login social si vous utilisez l'authentification sociale — Facebook, Google, Apple. Si vous oubliez un domaine, la splash page se chargera partiellement ou l'authentification échouera silencieusement. La documentation de support de Purple fournit la liste actuelle du walled garden, et il convient de traiter cette liste comme un document évolutif à réviser à chaque mise à jour de la plateforme par Purple. Section trois : l'API d'Aruba Central pour l'automatisation. Si vous déployez sur plus d'une vingtaine de sites, la configuration manuelle via l'interface utilisateur de Central devient un goulot d'étranglement. Aruba Central expose une API REST complète — l'API Central — qui vous permet d'automatiser la création de SSID, l'attribution de profils de Captive Portal et la configuration du walled garden. L'API est authentifiée via OAuth 2.0, et vous devrez générer des identifiants API depuis le portail Central. Les principaux points de terminaison API pour une intégration Purple sont : le point de terminaison de configuration WLAN, qui vous permet de créer et de mettre à jour les profils SSID ; le point de terminaison du profil de Captive Portal externe, où vous définissez l'URL de redirection Purple et les détails du serveur RADIUS ; et les points de terminaison de gestion des sites et des groupes, qui vous permettent d'attribuer des appareils à des sites et des groupes de manière programmatique. Si vous intégrez un nouveau site, vous pouvez écrire un script qui crée le site dans Central, attribue les points d'accès au site, applique le bon modèle de groupe et configure le profil de Captive Portal spécifique à Purple — le tout sans toucher à l'interface utilisateur. Purple expose également sa propre API, qui vous permet de créer des fiches d'établissement, de configurer des thèmes de portail de connexion et d'extraire des données analytiques. Une intégration mature utilisera les deux API ensemble : l'API de Central pour gérer la couche réseau, l'API de Purple pour gérer la couche d'expérience client. C'est le modèle que les grandes chaînes de vente au détail et les groupes hôteliers utilisent lorsqu'ils intègrent des dizaines de nouveaux sites par trimestre. Section quatre : Configuration étape par étape. Laissez-moi vous guider à travers la séquence de configuration pour un site unique, que vous automatiserez ensuite pour un déploiement à grande échelle. Tout d'abord, dans Aruba Central, accédez à votre groupe cible et ouvrez la configuration WLAN. Créez un nouveau SSID — par exemple, Venue-Guest — et définissez le niveau de sécurité sur Visiteurs. C'est la terminologie d'Aruba pour un réseau ouvert ou authentifié par Captive Portal. Deuxièmement, sous l'onglet Sécurité, définissez le type de portail de connexion sur Captive Portal externe. Créez un nouveau profil de Captive Portal externe. Donnez-lui un nom descriptif — Purple-Guest-Portal convient très bien. Définissez le type d'authentification sur Authentification RADIUS. Saisissez le nom d'hôte du serveur de Captive Portal de Purple dans le champ IP ou Nom d'hôte. Saisissez l'URL de redirection. Activez le protocole HTTPS. Définissez le comportement en cas d'échec du Captive Portal sur Refuser Internet, ce qui est l'option par défaut la plus sécurisée. Troisièmement, configurez le serveur RADIUS. Dans Central, accédez aux paramètres du serveur d'authentification et ajoutez le serveur RADIUS-as-a-Service de Purple. Vous aurez besoin de l'IP ou du nom d'hôte du serveur, du secret partagé — que vous générez dans la plateforme de Purple — et du port d'authentification, qui est le standard 1812, avec la comptabilisation (accounting) sur le 1813. Ajoutez ce serveur comme serveur principal pour votre SSID invité. Quatrièmement, configurez le walled garden (espace sécurisé). Dans les règles d'accès du SSID, ajoutez le domaine du Captive Portal de Purple et tous les domaines de connexion sociale à la liste d'autorisation. Testez cela attentivement — un domaine manquant est la cause la plus fréquente d'échec d'affichage du portail de connexion. Cinquièmement, enregistrez et déployez la configuration. Central déploiera la configuration sur tous les points d'accès du groupe. Vérifiez sur un appareil de test que la redirection se déclenche correctement et que l'authentification réussit. Section cinq : Modèles de déploiement multi-sites. Pour un déploiement sur cinquante sites ou plus, vous avez besoin d'une approche rigoureuse. Le modèle que je recommande est : pilote, modèle, automatisation, validation. Pilotez sur un seul site. Ajustez la configuration avec précision : walled garden complet, RADIUS opérationnel, page de connexion (splash page) se chargeant correctement, flux de comptabilisation actif. Documentez chaque valeur de paramètre. Ensuite, intégrez cette configuration dans un modèle de groupe Central. Ce modèle devient votre source unique de vérité. Pour le déploiement, utilisez l'API de Central pour pousser le modèle vers les nouveaux groupes à mesure que vous intégrez les sites. Si votre déploiement Purple utilise différents thèmes de splash page par marque ou par région, paramétrez le profil du Captive Portal — l'URL de redirection peut inclure des paramètres de requête que Purple utilise pour afficher le thème approprié. Cela signifie que vous pouvez avoir un seul point de terminaison RADIUS mais plusieurs expériences de splash page, le tout géré de manière centralisée. Validez chaque site après l'intégration. Un script de validation simple qui associe un appareil de test, vérifie la redirection, s'authentifie et valide l'accès à Internet permettra de détecter les dérives de configuration avant que les clients n'en fassent l'expérience. Le tableau de bord analytique de Purple vous indiquera également si les sessions sont enregistrées — si un site n'apparaît plus dans les rapports de Purple, c'est le signal que quelque chose est défaillant au niveau de la couche réseau. Section six : Pièges de mise en œuvre. Le walled garden est le premier point de défaillance. Testez avec un appareil qui n'a pas de cache DNS ni de sessions de portail enregistrées. Utilisez un profil de navigateur propre ou le mode de navigation privée. Le deuxième piège est une incompatibilité de la clé secrète partagée RADIUS. La clé secrète que vous configureg dans Central doit correspondre exactement à celle de la plateforme Purple. Une différence d'un seul caractère entraînera des échecs d'authentification silencieux — l'AP ne recevra aucune réponse du serveur RADIUS et refusera l'accès au client ou, si vous avez configuré le mode de défaillance du Captive Portal sur "Autoriser Internet", accordera l'accès sans authentification, ce qui représente un risque de conformité. Le troisième piège est une mauvaise configuration du VLAN. Le trafic invité doit se trouver sur un VLAN dédié, isolé de votre réseau d'entreprise. Dans Aruba Central, cela se configure dans les paramètres VLAN du profil SSID. Si votre VLAN invité n'est pas correctement trunké sur le port du commutateur de liaison montante, les AP s'activeront mais les invités n'obtiendront pas d'adresses DHCP. Le quatrième piège concerne la confiance du certificat lors de la redirection du Captive Portal. Les navigateurs et systèmes d'exploitation modernes sont de plus en plus stricts concernant l'application du protocole HTTPS. Le serveur de Captive Portal de Purple utilise un certificat TLS valide, mais si votre walled garden bloque les points de terminaison OCSP ou CRL que le client utilise pour valider le certificat, vous verrez des erreurs de certificat sur la splash page. Ajoutez ces points de terminaison à votre walled garden. Section sept : Questions rapides. Est-ce que Purple fonctionne avec l'architecture AOS-10 d'Aruba Central ainsi qu'avec AOS-8 ? Oui. Le mécanisme de Captive Portal externe est cohérent sur les deux flux de firmware. Le chemin dans l'interface utilisateur diffère légèrement, mais les objets de configuration sous-jacents sont les mêmes. Puis-je utiliser le RADIUS-as-a-Service de Purple sans gérer ma propre infrastructure RADIUS ? Oui, c'est tout l'intérêt. Le RADIUS-as-a-Service de Purple est un serveur RADIUS hébergé dans le cloud vers lequel vous pointez vos AP Aruba. Vous n'avez pas besoin de FreeRADIUS ou de Cisco ISE sur site. Cette intégration prend-elle en charge le WPA3 ? Aruba Central prend en charge le WPA3 sur les AP compatibles, et vous pouvez activer le mode de transition WPA3 sur votre SSID invité. Le mécanisme de Captive Portal de Purple est indépendant de la couche de chiffrement — il fonctionne au niveau de la redirection HTTP, et non au niveau de l'association 802.11. Les données collectées par Purple sont-elles conformes au GDPR ? Purple est conçu avec la conformité au GDPR comme exigence fondamentale. Le portail de connexion présente un mécanisme de consentement, et le traitement des données par Purple est régi par votre accord de traitement des données (DPA) avec eux. Pour les sites de l'UE, assurez-vous que votre configuration Purple inclut les mentions de consentement appropriées et que votre DPA est en place avant la mise en service. Section huit : Résumé et prochaines étapes. Pour résumer : Aruba Central et Purple s'intègrent via le mécanisme d'External Captive Portal, l'authentification RADIUS étant gérée par le service RADIUS cloud de Purple. La configuration réside au niveau du groupe dans Central et se propage à tous les AP du groupe — ce qui constitue la principale différence architecturale par rapport à Aruba sur site. Pour les déploiements multi-sites, utilisez l'API de Central pour automatiser le provisionnement et considérez la configuration de votre site pilote comme le modèle pour tout ce qui suit. Vos prochaines étapes immédiates : premièrement, confirmez que la structure de votre groupe Aruba Central correspond à la hiérarchie de vos sites Purple. Deuxièmement, obtenez la liste actuelle des domaines du walled garden de Purple et les détails des points de terminaison RADIUS auprès du portail d'assistance de Purple. Troisièmement, menez un projet pilote sur un seul site et validez l'ensemble du flux d'authentification avant de passer à l'échelle. Quatrièmement, créez vos scripts d'automatisation en utilisant l'API de Central et l'API de Purple en parallèle. Si vous évaluez Purple pour la première fois, les pages de la plateforme d'analyse et de WiFi invité sur purple.ai vous donneront une image claire de ce que vous obtenez au-delà du Captive Portal — la capture de données de première partie, l'automatisation du marketing, l'analyse de la fréquentation. C'est l'argument commercial qui permet de financer ce projet. Merci pour votre écoute. Si vous avez des questions sur cette intégration, l'équipe des solutions de Purple peut vous guider à travers une preuve de concept adaptée à votre environnement Aruba Central spécifique.

header_image.png

Synthèse

Pour les équipes informatiques d'entreprise qui gèrent des réseaux sans fil distribués, la migration de contrôleurs sur site vers des plateformes gérées dans le cloud comme Aruba Central modifie fondamentalement le modèle de déploiement. Bien que les mécanismes de base des portails captifs et de l'authentification RADIUS restent les mêmes, le paradigme de configuration passe d'une gestion centrée sur les périphériques à une gestion des politiques basée sur les groupes.

Ce guide fournit une référence technique complète pour intégrer Aruba Central avec la plateforme d'intelligence WiFi invité hébergée dans le cloud de Purple. Nous couvrons les différences d'architecture entre les déploiements sur site et gérés dans le cloud, la configuration étape par étape pour les portails captifs externes et le RADIUS-as-a-Service, ainsi que les stratégies pour automatiser les déploiements multi-sites à l'aide de l'API Aruba Central. Que vous déployiez le Guest WiFi sur une douzaine de bureaux régionaux ou sur une empreinte mondiale de magasins de détail, cette référence fournit les conseils pratiques nécessaires pour garantir une intégration sécurisée, évolutive et conforme.

Analyse Technique Approfondie

Transition Architecturale : Du Contrôleur au Cloud

Dans un déploiement Aruba traditionnel, les contrôleurs de mobilité (Mobility Controllers) agissent comme points d'application des politiques. Les profils de Captive Portal, les règles de walled garden et les définitions de serveurs RADIUS sont configurés directement sur le contrôleur. Lorsqu'un invité s'associe à un AP, son trafic est acheminé via un tunnel vers le contrôleur, qui gère la redirection HTTP vers le Captive Portal et relaie l'authentification RADIUS vers le serveur backend.

Aruba Central fonctionne sur un modèle d'application distribué. L'application des politiques s'effectue à la périphérie de l'Instant Access Point (IAP), tandis que la configuration est poussée depuis le cloud. Les points de contact de l'intégration passent de la configuration des périphériques locaux aux modèles de groupe, aux profils SSID et aux objets de Captive Portal externes au sein de la hiérarchie de configuration de Central.

architecture_overview.png

Purple se positionne au-dessus de cette couche réseau en tant que plateforme d'intelligence hébergée dans le cloud. Elle fournit le moteur de Captive Portal, gère la logique d'authentification (y compris la connexion via les réseaux sociaux, par SMS et par formulaire), capture les données de première main et alimente les analyses destinées à vos équipes marketing et opérationnelles via le tableau de bord WiFi Analytics . Purple fournit également un service RADIUS-as-a-Service, éliminant ainsi le besoin d'une infrastructure RADIUS sur site telle que FreeRADIUS ou Cisco ISE pour l'authentification des invités.

Le Flux d'Authentification

  1. Association : Un appareil invité s'associe au SSID invité diffusé par un IAP Aruba.
  2. Rôle de pré-authentification : L'IAP attribue à l'invité un rôle de pré-authentification. Ce rôle autorise uniquement le DNS, le DHCP et le trafic destiné aux domaines explicitement autorisés dans le walled garden.
  3. Interception HTTP : Lorsque l'invité ouvre un navigateur et tente d'accéder à un site HTTP, l'IAP intercepte la requête.
  4. Redirection : L'IAP se réfère à son profil de Captive Portal externe et redirige le navigateur de l'invité vers l'URL de la splash page de Purple, en y ajoutant des paramètres tels que l'adresse MAC de l'AP et l'adresse MAC du client.
  5. Authentification : L'invité s'authentifie via la splash page de Purple.
  6. RADIUS Access-Request : Le backend de Purple envoie une requête RADIUS Access-Request à l'IAP (ou au contrôleur virtuel) au nom de l'invité.
  7. RADIUS Access-Accept : Une fois l'authentification réussie, Purple renvoie un message RADIUS Access-Accept à l'IAP.
  8. Rôle authentifié : L'IAP fait passer l'invité du rôle de pré-authentification au rôle d'invité authentifié, lui accordant un accès complet à Internet.
  9. Comptabilité (Accounting) : L'IAP envoie des paquets RADIUS Accounting-Start et des mises à jour intermédiaires à Purple tout au long de la session, offrant ainsi une visibilité sur la durée de la session et l'utilisation des données.

Guide d'implémentation

Cette section décrit la configuration étape par étape requise pour intégrer un site unique au sein d'Aruba Central. Pour les déploiements multi-sites, cette configuration doit être intégrée dans un modèle de groupe (Group Template).

Étape 1 : Créer le SSID invité

  1. Dans l'interface Web d'Aruba Central, naviguez vers le contexte du groupe cible.
  2. Sous Gérer, cliquez sur Appareils > Points d'accès, puis cliquez sur l'icône Configuration.
  3. Sélectionnez l'onglet WLANs et cliquez sur + Ajouter un SSID.
  4. Saisissez un nom pour le SSID (par exemple, Venue-Guest).
  5. Sous l'onglet Sécurité, définissez le niveau de sécurité sur Visiteurs.

Étape 2 : Configurer le profil du Captive Portal externe

  1. Dans les paramètres de sécurité du SSID, sélectionnez le type de Splash Page comme Captive Portal externe.
  2. Cliquez sur l'icône + pour créer un nouveau profil de Captive Portal.
  3. Nom : Saisissez un nom descriptif (par exemple, Purple-Portal).
  4. Type d'authentification : Sélectionnez Authentification Radius.
  5. IP ou nom d'hôte : Saisissez le nom d'hôte du serveur de Captive Portal de Purple fourni dans les paramètres de votre portail Purple.
  6. URL : Saisissez l'URL de redirection fournie par Purple.
  7. Utiliser HTTPS : Activez cette option pour imposer une communication sécurisée.
  8. Échec du Captive Portal : Sélectionnez Refuser Internet pour garantir que les invités ne puissent pas contourner l'authentification si le portail est inaccessible.

Étape 3 : Configurer le RADIUS-as-a-Service

  1. Toujours dans les paramètres de sécurité du SSID, localisez le champ Serveur principal sous la configuration du Captive Portal externe.
  2. Cliquez sur l'icône + pour ajouter un nouveau serveur d'authentification externe.
  3. Adresse IP : Saisissez l'adresse IP ou le nom d'hôte du serveur RADIUS de Purple.
  4. Clé partagée : Saisissez le secret partagé RADIUS généré dans votre portail Purple. Crucial : cela doit correspondre exactement.
  5. Port d'authentification : 1812
  6. Port de comptabilité : 1813
  7. Assurez-vous que l'Accounting est activé et configuré sur un intervalle raisonnable (par exemple, 5 minutes) pour garantir un suivi précis des sessions dans le tableau de bord Purple.

Étape 4 : Définir le Walled Garden

Le walled garden est l'élément de configuration le plus critique. Il définit les domaines auxquels un invité peut accéder avant de s'être authentifié. Si le walled garden est incomplet, la page de splash ne se chargera pas ou l'authentification sociale échouera.

  1. Dans les paramètres du SSID, accédez aux règles d'Access.
  2. Ajoutez des règles pour autoriser le trafic vers les domaines du Captive Portal de Purple et les points de terminaison CDN.
  3. Si vous utilisez la connexion via les réseaux sociaux (par exemple, Facebook, Google, X), vous devez ajouter les domaines respectifs de ces fournisseurs d'identité. Purple maintient une liste mise à jour des domaines de walled garden requis dans sa documentation d'assistance.

Étape 5 : Configuration du VLAN et du DHCP

Assurez-vous que le SSID invité est mappé sur un VLAN dédié, isolé de votre réseau d'entreprise.

  1. Sous l'onglet VLANs dans la configuration du SSID, sélectionnez External DHCP server assigned (si vous utilisez votre propre infrastructure DHCP) ou Instant AP assigned (si le contrôleur virtuel gère le DHCP et le NAT pour les invités).
  2. Spécifiez l'ID de VLAN correct pour le réseau invité.

Bonnes pratiques pour les déploiements multi-sites

Lors d'un déploiement sur des dizaines ou des centaines de sites — que ce soit dans le Retail , l' Hospitality ou le Healthcare — la configuration manuelle est source d'erreurs. Une approche rigoureuse et automatisée est requise.

multisite_rollout.png

1. Structure de groupe et hiérarchie

Alignez la structure de vos groupes Aruba Central avec la hiérarchie de vos sites. Un modèle courant consiste à créer des groupes basés sur le type de site ou la marque (par exemple, « Flagship Stores » vs « Pop-up Locations »). Le profil d'External Captive Portal est appliqué au niveau du groupe, ce qui signifie que tous les AP de ce groupe héritent des mêmes paramètres d'intégration Purple.

2. Redirections paramétrées

Si différents sites nécessitent des thèmes de page de splash différents, vous n'avez pas besoin de profils de Captive Portal distincts pour chaque site. Purple vous permet d'utiliser une URL de redirection unique qui affiche dynamiquement le bon thème en fonction de l'adresse MAC de l'AP ou d'un paramètre personnalisé ajouté à l'URL par l'AP Aruba.

3. Provisionnement piloté par API

Tirez parti de l'API REST d'Aruba Central pour automatiser l'intégration des sites. L'API Central vous permet de créer des SSIDs par programmation, d'attribuer des profils de Captive Portal et de mettre à jour les listes de walled garden. Combinée à l'API Purple, vous pouvez créer un flux de travail de provisionnement sans contact (zero-touch) :

  • Déclencheurs de script : Un nouveau site est ajouté à votre CMDB.
  • API Purple : Crée l'enregistrement du site dans Purple et génère le secret RADIUS.
  • API Central : Crée le site dans Aruba Central, attribue les APs, applique le modèle de groupe et injecte le secret RADIUS de Purple.

4. Consolidation des SSID

Évitez la tentation de diffuser plusieurs SSID invités pour différents types d'utilisateurs (par exemple, "Invité", "Prestataire", "Fournisseur"). Comme détaillé dans notre guide sur le Système de positionnement en intérieur : Guide UWB, BLE et WiFi , un nombre excessif de SSID dégrade les performances RF en consommant du temps d'antenne précieux avec des trames de balise (beacon frames). Diffusez un seul SSID et utilisez la logique d'authentification de Purple pour attribuer différents rôles ou limites de bande passante en fonction de l'identité de l'utilisateur.

Dépannage et atténuation des risques

Modes de défaillance courants

  • Échec du chargement du Captive Portal : Il s'agit presque toujours d'un problème de walled garden (jardin de sécurité). L'appareil de l'invité tente de charger une ressource (par exemple, une police, une image ou un fichier CSS) à partir d'un domaine qui n'est pas autorisé avant l'authentification. Utilisez les outils de développement d'un navigateur sur un appareil de test pour identifier les requêtes bloquées.
  • Échecs d'authentification silencieux : Si le Captive Portal se charge, que l'utilisateur s'authentifie, mais qu'aucun accès Internet ne lui est accordé, le problème provient généralement d'une incompatibilité de clé secrète partagée RADIUS ou d'un pare-feu bloquant les ports UDP 1812/1813 entre la borne d'accès et les serveurs RADIUS de Purple.
  • Erreurs de certificat lors de la redirection : Les systèmes d'exploitation modernes imposent une validation HTTPS stricte. Si votre walled garden bloque l'accès aux points de terminaison de la liste de révocation de certificats (CRL) ou du protocole d'état de certificat en ligne (OCSP) utilisés par l'appareil client pour valider le certificat TLS de Purple, le navigateur affichera un avertissement de sécurité. Assurez-vous que ces points de terminaison sont sur liste blanche.

Atténuation des risques : Conformité et confidentialité

Lors du déploiement d'un WiFi invité, vous traitez des données personnelles. L'intégration doit être conçue dans le respect des réglementations sur la protection de la vie privée.

  • GDPR et CCPA : Assurez-vous que votre Captive Portal Purple présente des conditions générales claires et des mécanismes de consentement explicites pour la capture de données. Pour plus de contexte sur les impacts réglementaires, reportez-vous à notre note d'information sur la Loi sur l'IA de l'UE et le WiFi invité : ce que les spécialistes du marketing doivent savoir .
  • PCI DSS : Le trafic des invités doit être logiquement séparé des réseaux de traitement des paiements. Vérifiez que le VLAN attribué au SSID invité dans Aruba Central ne peut pas acheminer de trafic vers votre infrastructure de point de vente (POS).

ROI et impact commercial

La transition vers une intégration gérée dans le cloud entre Aruba Central et Purple offre une valeur commerciale mesurable :

  • Réduction du TCO : L'élimination des contrôleurs sur site et des serveurs RADIUS locaux réduit les coûts matériels et les frais de maintenance.
  • Agilité opérationnelle : La gestion des politiques basée sur les groupes et le provisionnement piloté par API permettent aux équipes informatiques de déployer de nouveaux sites en quelques minutes plutôt qu'en quelques jours.
  • Intelligence exploitable : En connectant de manière transparente la périphérie du réseau à la plateforme d'analyse de Purple, les sites bénéficient d'une visibilité immédiate sur la fréquentation, les temps de séjour et la démographie des clients, transformant ainsi un centre de coûts (le WiFi invité) en un actif générateur de revenus.

Écoutez notre podcast d'analyse approfondie pour en savoir plus :

Définitions clés

Profil de Captive Portal externe

Un objet de configuration dans Aruba Central qui définit l'URL de redirection et les détails du serveur d'authentification pour une plateforme WiFi invité tierce comme Purple.

Il s'agit du principal point d'intégration où les équipes informatiques lient leur réseau Aruba aux services cloud de Purple.

Walled Garden

Un ensemble de règles d'accès qui autorisent le trafic vers des adresses IP ou des domaines spécifiques avant qu'un utilisateur ne se soit authentifié.

Indispensable pour permettre aux appareils invités de charger la page de splash Purple, d'accéder aux fournisseurs de connexion sociale et de valider les certificats TLS avant d'obtenir un accès complet à Internet.

RADIUS-as-a-Service

Un serveur RADIUS hébergé dans le cloud fourni par Purple qui gère l'authentification et la comptabilisation des sessions WiFi invité.

Élimine la nécessité pour les équipes informatiques de l'entreprise de déployer et de maintenir une infrastructure RADIUS sur site pour l'accès invité.

Rôle de pré-authentification

L'état initial attribué à un appareil invité lors de son association avec l'SSID, limitant l'accès aux seules destinations DNS, DHCP et walled garden.

Garantit la sécurité en empêchant les appareils non authentifiés d'accéder à Internet ou au réseau de l'entreprise.

Modèle de groupe

Une structure de configuration hiérarchique dans Aruba Central qui permet d'appliquer uniformément les politiques et les paramètres SSID sur plusieurs points d'accès.

Le mécanisme fondamental pour réaliser des déploiements multi-sites évolutifs et cohérents.

Comptabilisation RADIUS

Le processus par lequel le point d'accès envoie des données de session (heure de début, durée, données transférées) au serveur RADIUS.

Crucial pour que Purple puisse fournir des analyses précises sur le temps de séjour et la consommation de bande passante dans le tableau de bord WiFi Analytics.

Points de terminaison OCSP/CRL

Points de terminaison du protocole de statut de certificat en ligne (OCSP) et de la liste de révocation de certificats (CRL) utilisés par les navigateurs pour vérifier la validité d'un certificat SSL/TLS.

Si ces points de terminaison sont bloqués par le walled garden, les appareils modernes afficheront des avertissements de sécurité au lieu de la page de splash Purple.

OAuth 2.0

Le protocole standard de l'industrie pour l'autorisation, utilisé pour sécuriser l'accès à l'API REST d'Aruba Central.

Les équipes informatiques doivent générer des identifiants OAuth pour scripter et automatiser le provisionnement de nouveaux sites et de profils de Captive Portal.

Exemples concrets

Un hôtel de 200 chambres migre de contrôleurs Aruba Mobility sur site vers Aruba Central. Ils doivent répliquer leur intégration Purple WiFi existante, qui utilise une page de connexion personnalisée et une connexion via les réseaux sociaux, sur 45 points d'accès. Comment l'équipe informatique doit-elle aborder la configuration ?

L'équipe informatique doit d'abord créer un groupe dédié dans Aruba Central pour l'hôtel. Au sein de ce groupe, elle configure un nouveau SSID invité avec le niveau de sécurité défini sur « Visiteurs ». Elle doit ensuite créer un profil de Captive Portal externe pointant vers l'URL de redirection de Purple et configurer le point de terminaison RADIUS-as-a-Service de Purple comme serveur d'authentification principal. De plus, comme elle utilise la connexion via les réseaux sociaux, l'équipe doit configurer les règles d'accès du SSID (le walled garden) pour autoriser explicitement le trafic vers les domaines de Purple, les points de terminaison CDN et les domaines spécifiques requis par les fournisseurs d'identité sociale (par exemple, Facebook, Google) avant l'authentification. Enfin, les points d'accès sont attribués au groupe, héritant ainsi automatiquement de la configuration.

Commentaire de l'examinateur : Cette approche exploite correctement l'architecture basée sur les groupes d'Aruba Central. En appliquant la configuration au niveau du groupe plutôt que par point d'accès, le déploiement est évolutif et cohérent. La mention explicite de la configuration du walled garden pour les domaines de connexion sociale démontre une compréhension du point de défaillance le plus courant dans les intégrations de portails captifs gérés dans le cloud.

Une chaîne de magasins déploie Purple WiFi dans 150 points de vente gérés par Aruba Central. Elle souhaite un thème de page de connexion différent pour ses magasins phares par rapport à ses points de vente standard, tout en minimisant la charge de configuration. Comment peut-elle y parvenir ?

Au lieu de créer des groupes Aruba Central distincts et des profils de Captive Portal externes différents pour chaque type de magasin, la chaîne peut utiliser un seul modèle de groupe et une seule URL de redirection. La plateforme de Purple permet à l'URL de redirection de diffuser de manière dynamique différents thèmes de pages de connexion en fonction des paramètres ajoutés par le point d'accès Aruba, tels que l'adresse MAC du point d'accès ou l'ID du site. L'équipe informatique configure un seul profil de Captive Portal externe dans Central et gère la correspondance des thèmes entièrement au sein de la plateforme Purple.

Commentaire de l'examinateur : Cette solution démontre une connaissance approfondie des capacités d'intégration. L'utilisation de redirections paramétrées réduit la charge de configuration dans Aruba Central et centralise la gestion de l'expérience invité au sein de Purple, ce qui est conforme aux meilleures pratiques pour l'échelle de l'entreprise.

Questions d'entraînement

Q1. Vous avez configuré un profil Captive Portal externe dans Aruba Central pointant vers Purple. Les invités se connectent au SSID, mais leurs navigateurs affichent une erreur générique « Impossible de joindre le serveur » au lieu de la splash page. Quelle est la cause la plus probable ?

Conseil : Considérez quel trafic est autorisé avant qu'un invité ne s'authentifie avec succès.

Voir la réponse type

La cause la plus probable est une configuration de walled garden incomplète ou manquante. Avant l'authentification, l'AP rejette tout le trafic à l'exception du DNS, du DHCP et du trafic destiné aux domaines explicitement autorisés dans les règles d'accès. Vous devez vous assurer que les domaines du Captive Portal de Purple et les points de terminaison CDN sont sur liste blanche.

Q2. Votre organisation déploie Purple WiFi dans 50 bureaux régionaux. Vous souhaitez vous assurer que si le serveur RADIUS de Purple devient temporairement inaccessible, les invités ne bénéficient pas d'un accès non authentifié à Internet. Quel paramètre devez-vous configurer dans le profil Captive Portal externe ?

Conseil : Recherchez le paramètre de configuration qui dicte le comportement lorsque le serveur externe échoue.

Voir la réponse type

Vous devez définir le comportement « Captive Portal Failure » sur « Deny Internet ». Cette approche de fermeture par défaut garantit la sécurité et la conformité en empêchant l'accès non authentifié si le serveur RADIUS ne peut pas être joint.

Q3. Après un déploiement réussi, l'équipe marketing signale que le tableau de bord analytique de Purple affiche les connexions des invités, mais que toutes les sessions indiquent une durée de 0 minute et 0 octet de données utilisées. Quelle étape de configuration réseau a été omise ?

Conseil : Pensez à la manière dont la durée de la session et l'utilisation des données sont communiquées de l'AP au serveur d'authentification.

Voir la réponse type

Le RADIUS Accounting n'a probablement pas été activé, ou le port d'accounting (1813) est bloqué par un pare-feu. L'AP utilise les paquets RADIUS Accounting-Start, Interim-Update et Stop pour signaler les métriques de session à Purple. Sans ceux-ci, Purple sait qu'une connexion a eu lieu mais n'a aucune visibilité sur les détails de la session.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Lire le guide →

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.

Lire le guide →