Aruba ClearPass et Purple WiFi : Guide d'intégration et de déploiement

Ce guide fournit une référence technique complète pour l'intégration de HPE Aruba ClearPass Policy Manager avec la plateforme Purple WiFi, couvrant l'architecture de proxy RADIUS, la configuration du Captive Portal et le mappage dynamique des rôles VLAN. Il est conçu pour les responsables informatiques et les architectes réseau dans des environnements fortement basés sur Aruba qui ont besoin de conserver ClearPass pour le NAC tout en déployant Purple pour l'authentification des invités et l'analyse. La mise en œuvre de cette intégration comble une lacune critique entre les fournisseurs, permettant une sécurité et une conformité de niveau entreprise, parallèlement aux capacités d'intelligence des visiteurs de Purple, leader sur le marché.

📖 9 min de lecture📝 2,154 mots🔧 2 exemples❓ 4 questions📚 9 termes clés

🎧 Écouter ce guide

Voir la transcription

Welcome to this technical briefing on integrating HPE Aruba ClearPass with the Purple WiFi platform. I'm your host, and today we're diving deep into the architecture, deployment strategies, and operational benefits of combining ClearPass Policy Manager's robust network access control with Purple's industry-leading guest WiFi and analytics capabilities.

For IT managers, network architects, and CTOs managing large-scale venues — whether that's a sprawling retail chain, a high-density stadium, or a complex healthcare campus — delivering secure, segmented, and insightful wireless access is paramount. ClearPass is phenomenal at context-aware policy enforcement and 802.1X authentication for corporate devices. However, when it comes to guest onboarding, captive portals, and extracting actionable marketing analytics from visitor data, Purple is the undisputed leader.

The core question we're answering today is: How do you configure ClearPass to use Purple as the captive portal, while retaining ClearPass for NAC and dynamic role-based VLAN assignment? Let's get into it.

First, let's establish the architecture. At a high level, the integration relies on standard RADIUS protocols and HTTP redirect mechanisms. Your Aruba Mobility Controllers or Instant Access Points broadcast the guest SSID. When an unauthenticated device connects, the controller intercepts the HTTP traffic and redirects the user's browser to the Purple captive portal. This redirect is the first critical piece to get right.

Now, the user authenticates via Purple. This might be a social login through Facebook or Google, a custom email and password form, or even OpenRoaming, where Purple acts as a free identity provider under the Connect licence. Once Purple validates the user, it sends a RADIUS Access-Accept message back through the chain to the controller, which then grants network access.

But here's where ClearPass becomes essential. Rather than the Aruba controller talking directly to Purple's RADIUS servers, you insert ClearPass as a RADIUS proxy in the middle. The controller sends all RADIUS requests to ClearPass. ClearPass evaluates the request and, if it matches your guest service routing policy, forwards it to Purple's cloud RADIUS servers. Purple responds, and ClearPass passes that response back to the controller, but crucially, it can append its own policy attributes before doing so.

This proxy architecture gives you the best of both worlds. ClearPass maintains a complete audit log of every authentication event on your network, both corporate and guest. You get a single pane of glass for security operations. And Purple handles the user-facing experience and analytics without you needing to replace your existing NAC investment.

Let's talk about dynamic VLAN assignment, because this is where things get really powerful — and where most deployments run into trouble if they're not careful.

ClearPass uses a concept called Roles and Enforcement Profiles. When an authentication request comes in, ClearPass evaluates the context: who is the user, what device are they on, what time is it, what location are they connecting from? Based on these factors, it assigns a Role. For a standard guest, that might be ROLE_GUEST. For a VIP, it might be ROLE_VIP. For a contractor, ROLE_CONTRACTOR.

This Role is then mapped to an Enforcement Profile, which defines the specific RADIUS attributes to return to the Aruba controller. The most important attribute here is the Aruba-User-Role Vendor-Specific Attribute, or VSA. This tells the controller exactly which role to place the user in on the wireless side.

On the Aruba controller, each role maps to a specific VLAN and a set of firewall policies. So ROLE_GUEST maps to VLAN 20, with internet-only access and a 10 megabit per second bandwidth limit. ROLE_VIP maps to VLAN 40, with a 50 megabit limit. ROLE_IOT maps to VLAN 30, a completely isolated segment with no internet access, just local connectivity for smart devices.

This segmentation is not just good practice — it's a compliance requirement. Under PCI DSS, any network that touches cardholder data must be isolated from guest networks. Under GDPR, you need to be able to demonstrate that personal data collected through the guest portal is handled appropriately and that guest traffic cannot traverse your corporate infrastructure.

Now, let me walk you through a real-world scenario. A large hotel chain with 500 rooms across multiple properties. They have Aruba controllers at every site, ClearPass deployed centrally, and they want to roll out Purple for guest WiFi.

The deployment looks like this. Two SSIDs per site: Hotel_Corp and Hotel_Guest. Hotel_Corp uses 802.1X with certificates, authenticated against Active Directory via ClearPass. Hotel_Guest is an open SSID that triggers the Purple captive portal.

In ClearPass, they create two Services. Service One matches Hotel_Corp and handles 802.1X authentication locally. Service Two matches Hotel_Guest and uses a RADIUS Routing Policy to proxy requests to Purple. The Enforcement Policy for Service Two returns the Aruba-User-Role of guest-authenticated, which maps to VLAN 20 on the controller.

For IoT devices — smart TVs, thermostats, door locks — they use a third SSID, Hotel_IoT, with MAC-based authentication. ClearPass profiles the device using its OUI and assigns ROLE_IOT, dropping it into VLAN 30.

The result? Staff get full corporate access. Guests get a branded, engaging portal experience with social login and marketing opt-ins. IoT devices are isolated. And the IT team has complete visibility across all three user types in ClearPass's Access Tracker.

Now let's talk about the pitfalls, because there are several that will catch you out if you're not prepared.

Number one: the walled garden. This is the most common source of captive portal failures. Before a device is authenticated, the Aruba controller only allows traffic to a pre-defined list of destinations — the walled garden. If Purple's portal URL, its backend API endpoints, and the social login provider domains are not in that list, the portal simply won't load. You need to maintain this list proactively. Social login providers like Facebook and Google regularly change their IP ranges and CDN domains. Treat the walled garden as a living configuration.

Number two: RADIUS timeouts. The default RADIUS timeout on most Aruba controllers is three seconds. In a proxy architecture, the request travels from the AP to the controller, to ClearPass, across the internet to Purple's cloud RADIUS, and back. On a congested network, that round trip can easily exceed three seconds. Increase your timeout to at least ten seconds and configure retry logic.

Number three: shared secret mismatches. This one causes silent failures that are notoriously difficult to diagnose. The shared secret between the Aruba controller and ClearPass must match exactly. The shared secret between ClearPass and Purple's RADIUS servers must also match exactly. A single character difference will cause authentication to fail with no meaningful error message to the end user. Always double-check these.

Number four: role name case sensitivity. The Aruba-User-Role VSA returned by ClearPass must exactly match — including capitalisation — the role name defined on the Aruba controller. If ClearPass returns guest-authenticated but the controller has Guest-Authenticated defined, the user will fall back to the default role, which is typically the logon role with no internet access.

Number five: RADIUS accounting. Many deployments configure authentication proxying correctly but forget to proxy accounting as well. Purple uses RADIUS accounting data to track session duration, data usage, and to populate its analytics dashboards. If accounting isn't flowing to Purple, your analytics will be incomplete.

Let's move to the rapid-fire questions section.

Can I use a single SSID for both employees and guests? Yes, you can. Configure ClearPass to handle both 802.1X and MAC-Auth on the same SSID. Use Service Rules to differentiate the traffic type and route accordingly. It's more complex to manage but reduces SSID proliferation.

Does Purple support Change of Authorization? Yes. CoA allows the controller to dynamically update a user's session without requiring them to reconnect. This is useful for time-limited access or tier upgrades.

Can I use this integration with Aruba Instant rather than a full Mobility Controller? Yes, Aruba Instant supports external RADIUS servers and captive portal redirect. The configuration is slightly different but the principles are identical.

Does this integration work with WPA3? Yes. WPA3-SAE for personal networks and WPA3-Enterprise for 802.1X are both supported. For guest networks using captive portals, WPA3-SAE or an open SSID with Opportunistic Wireless Encryption are the typical choices.

To summarise today's briefing. The ClearPass and Purple integration is a RADIUS proxy architecture. ClearPass remains your central policy decision point for all network access. Purple handles the guest-facing experience and analytics. The Aruba controller enforces the resulting policies through dynamic VLAN assignment. The three most critical configuration elements are the walled garden, RADIUS timeouts, and role name consistency. Get those right, and you have a robust, compliant, and commercially valuable guest WiFi deployment.

Thank you for listening. If you want to explore this further, visit purple.ai to speak with a solutions architect about your specific deployment.

Points clés à retenir

✓The integration uses a RADIUS proxy architecture: the Aruba controller sends all RADIUS requests to ClearPass, which routes guest authentication to Purple's cloud RADIUS servers while handling corporate 802.1X locally.
✓ClearPass remains the central policy decision point for all network access, maintaining a unified audit trail that satisfies PCI DSS and GDPR compliance requirements.
✓Dynamic VLAN assignment is achieved through ClearPass Role Mapping and the Aruba-User-Role VSA, enabling secure segmentation of guests, staff, IoT devices, and VIPs on a single SSID.
✓The walled garden is the most operationally sensitive configuration element — it must include Purple's portal domains, social login provider endpoints, and OS-level captive portal detection URLs.
✓Increase the RADIUS timeout on the Aruba controller to at least 10 seconds to accommodate the additional network hop to Purple's cloud infrastructure.
✓RADIUS Accounting must be proxied to Purple alongside authentication — without it, Purple's analytics dashboards will show incomplete session data.
✓This integration closes a critical vendor gap for Aruba-heavy enterprises, enabling Purple's advanced guest analytics and marketing capabilities without replacing the existing ClearPass NAC investment.

Résumé Exécutif

Pour les environnements d'entreprise fortement investis dans l'infrastructure HPE Aruba, la gestion de politiques d'accès réseau complexes tout en offrant une expérience WiFi invité fluide et riche en données représente un défi architectural significatif. Alors que ClearPass Policy Manager excelle dans le Network Access Control (NAC) et l'authentification IEEE 802.1X pour les appareils d'entreprise, les opérateurs de sites exigent de plus en plus les capacités avancées de Captive Portal, d'analyse et de marketing fournies par Purple WiFi.

Ce guide détaille l'architecture et la stratégie de déploiement pour l'intégration d'Aruba ClearPass avec Purple WiFi en utilisant un modèle de proxy RADIUS. En configurant ClearPass pour qu'il agisse comme proxy pour les requêtes d'authentification des invités vers le RADIUS-as-a-Service de Purple, les organisations peuvent maintenir des politiques de sécurité centralisées, appliquer des attributions de VLAN dynamiques basées sur les rôles, et simultanément exploiter la robuste plateforme d'informations sur les visiteurs de Purple. Cette intégration est essentielle pour les déploiements à grande échelle dans les secteurs du Commerce de détail , de l' Hôtellerie , de la Santé et des pôles de Transport où la conformité, la sécurité et l'engagement client doivent coexister sans compromis. Le résultat est un déploiement où ClearPass décide, Purple engage et Aruba applique.

Approfondissement Technique

Aperçu de l'Architecture

L'intégration repose sur une architecture de proxy RADIUS standard, étayée par le RFC 2865 (RADIUS) et le RFC 5176 (Dynamic Authorisation Extensions). Le contrôleur de mobilité Aruba ou le cluster Instant AP est configuré pour utiliser ClearPass comme serveur RADIUS principal pour tous les SSIDs. ClearPass gère l'authentification 802.1X d'entreprise localement par rapport à Active Directory ou à une autorité de certification interne, mais est configuré avec une politique de routage de service RADIUS pour transférer les requêtes d'authentification des invités vers les serveurs RADIUS cloud de Purple.

Cette architecture préserve l'investissement dans ClearPass en tant que point de décision de politique central tout en déléguant entièrement la couche d'expérience invité à Purple. Chaque événement d'authentification — d'entreprise ou invité — est enregistré dans l'Access Tracker de ClearPass, fournissant une piste d'audit unifiée qui satisfait aux exigences de conformité de PCI DSS v4.0 et de l'article 30 du GDPR (Registres des activités de traitement).

Flux d'Authentification : Étape par Étape

Comprendre la séquence précise des événements est essentiel pour le déploiement initial et le dépannage ultérieur. Le flux pour un appareil invité est le suivant.

Étape	Acteur	Action
1	Appareil invité	S'associe au Guest SSID ouvert
2	Contrôleur Aruba	Attribue une IP de pré-authentification et place l'appareil dans le rôle de connexion
3	Appareil invité	Envoie une requête HTTP (par exemple, http://example.com )
4	Contrôleur Aruba	Intercepte et redirige HTTP 302 vers l'URL du portail Purple
5	Appareil invité	Charge le Captive Portal Purple via le jardin clos
6	Utilisateur invité	S'authentifie (connexion sociale, formulaire ou OpenRoaming)
7	Plateforme Purple	Envoie une requête RADIUS Access-Request au contrôleur Aruba
8	Contrôleur Aruba	Transfère la requête RADIUS à ClearPass
9	ClearPass	Correspond à la règle de service invité, agit comme proxy vers le RADIUS Purple
10	RADIUS Purple	Renvoie Access-Accept
11	ClearPass	Ajoute les VSA Aruba (User-Role), transfère l'Acceptation
12	Contrôleur Aruba	Déplace l'appareil vers le rôle post-authentification, attribue le VLAN invité

Le comportement du mécanisme de détection du Captive Portal — spécifiquement le Captive Network Assistant (CNA) d'Apple, la vérification de connectivité d'Android et le NCSI de Microsoft — a une incidence directe sur le chargement correct du portail. Pour une analyse détaillée de ces comportements au niveau du système d'exploitation, consultez Apple CNA, Android Connectivity Check, Microsoft NCSI : Comment la détection de portail captif fonctionne réellement .

Attribution Dynamique de VLAN et Mappage de Rôles ClearPass

La segmentation du réseau est une exigence non négociable pour la conformité PCI DSS et une architecture de sécurité solide. ClearPass permet l'attribution dynamique de VLAN via son cadre de mappage de rôles et de profils d'application.

Lorsque ClearPass traite une requête d'authentification, il évalue les attributs contextuels — identité de l'utilisateur, type d'appareil (profilé via l'empreinte DHCP ou l'User-Agent HTTP), heure de la journée et emplacement de la connexion — et attribue un rôle. Ce rôle est ensuite mappé à un profil d'application qui renvoie des attributs RADIUS spécifiques au contrôleur Aruba, le plus critique étant l'attribut spécifique au fournisseur Aruba-User-Role (VSA, ID de fournisseur 14823, Attribut 1).

Le contrôleur Aruba mappe chaque rôle d'utilisateur à un VLAN et à un ensemble de politiques de pare-feu avec état. Un modèle de segmentation représentatif pour un grand site est présenté ci-dessous.

Type d'utilisateur	Rôle ClearPass	VLAN	Politique de bande passante	Politique de pare-feu
Employé d'entreprise	ROLE_CORP	10	100 Mbps	Accès interne complet
Invité standard	ROLE_GUEST	20	10 Mbps	Internet uniquement
Appareil IoT	ROLE_IOT	30	5 Mbps	Local uniquement, pas d'internet
Invité VIP / Premium	ROLE_VIP	40	50 Mbps	Internet + services sélectionnés
Entrepreneur	ROLE_CONTRACTOR	50	20 Mbps	Accès interne limité

Configuration du Proxy RADIUS dans ClearPass

La configuration du proxy RADIUS dans ClearPass Policy Manager nécessite trois composants : une cible de proxy RADIUS (définissant les points d'extrémité du serveur RADIUS de Purple), une politique de routage de service (définissant les requêtes à proxifier) et un profil d'application (définissant les VSA à ajouter sur le chemin de retour).

La cible de proxy est configurée sous Administration > External Servers > RADIUS Servers. Ajoutez les adresses IP RADIUS de Purple (disponibles depuis le portail Purple sous Hardware > RADIUS Settings), le secret partagé, ainsi que le port d'authentification (UDP 1812) et le port de comptabilité (UDP 1813).

Le service est configuré sous Configuration > Services. Créez un nouveau service avec le type défini sur RADIUS Proxy. Sous Service Rules, ajoutez une condition correspondant au Called-Station-ID (le nom du SSID) ou au NAS-Identifier pour identifier le trafic invité. Sous Authentication, sélectionnez la cible de proxy RADIUS créée ci-dessus.

Il est essentiel de s'assurer que la comptabilité RADIUS est également proxifiée vers Purple. Purple utilise les données de comptabilité (Acct-Start, Acct-Interim-Update, Acct-Stop) pour renseigner la durée des sessions, la consommation de données et les données de présence en temps réel dans sa plateforme WiFi Analytics . L'omission de la comptabilité est une erreur de déploiement courante qui entraîne des tableaux de bord analytiques incomplets.

Guide d'implémentation

Phase 1 : Configuration du contrôleur Aruba

Étape 1 — Définir ClearPass comme serveur RADIUS. Accédez à Configuration > Security > Authentication Servers. Ajoutez les adresses IP primaire et secondaire de ClearPass. Définissez le secret partagé, le port d'authentification (1812) et le port de comptabilité (1813). Configurez le délai d'expiration à 10 secondes et le nombre de tentatives à 3 pour tenir compte du saut de proxy vers l'infrastructure cloud de Purple.

Étape 2 — Configurer le SSID invité. Créez un nouveau profil SSID pour l'accès invité. Définissez le mode de sécurité sur Open ou WPA3-SAE (recommandé pour la conformité GDPR). Sous le profil AAA, définissez le rôle initial sur un rôle de connexion prédéfini qui n'a qu'un accès au jardin clos (walled garden).

Étape 3 — Configurer le profil du Captive Portal. Créez un profil de Captive Portal pointant vers l'URL de la page d'accueil de Purple. Cette URL est obtenue depuis le portail Purple sous Locations > [Your Venue] > Splash Page URL. Activez l'option de redirection vers l'URL d'origine après l'authentification.

Étape 4 — Configurer le jardin clos (Walled Garden). C'est l'étape la plus sensible sur le plan opérationnel. Le jardin clos doit inclure les domaines du portail Purple, les points d'accès CDN et tous les domaines des fournisseurs de connexion sociale. Au minimum, incluez :

*.purple.ai et *.purple-portal.com
*.facebook.com, *.fbcdn.net (pour la connexion Facebook)
*.google.com, *.googleapis.com (pour la connexion Google)
Point d'accès de vérification CNA d'Apple : captive.apple.com
Microsoft NCSI : www.msftconnecttest.com

Étape 5 — Définir les rôles post-authentification. Créez les rôles que ClearPass attribuera après l'authentification (par exemple, guest-authenticated). Chaque rôle est associé à un VLAN et à une politique de pare-feu autorisant l'accès uniquement à Internet.

Phase 2 : Configuration de ClearPass Policy Manager

Étape 1 — Ajouter les contrôleurs Aruba comme périphériques réseau. Sous Configuration > Network > Devices, ajoutez chaque contrôleur Aruba avec son IP de gestion, son secret partagé et son fournisseur (Aruba Networks).

Étape 2 — Ajouter Purple comme cible de proxy RADIUS. Sous Administration > External Servers > RADIUS Servers, ajoutez les points d'accès RADIUS de Purple avec le secret partagé fourni dans le portail Purple.

Étape 3 — Créer le service d'authentification invité. Sous Configuration > Services, créez un nouveau service. Définissez le type de service sur RADIUS Proxy. Configurez les règles de service pour correspondre au SSID invité (par exemple, Called-Station-SSID EQUALS GuestWiFi). Sous Authentication, sélectionnez la cible de proxy RADIUS de Purple.

Étape 4 — Créer le profil d'application. Sous Configuration > Enforcement > Profiles, créez un profil d'application RADIUS. Ajoutez l'attribut Aruba-User-Role avec la valeur guest-authenticated. Ceci indique au contrôleur Aruba de déplacer l'utilisateur vers le rôle invité post-authentification.

Étape 5 — Configurer le proxy de comptabilité. Assurez-vous que le service est également configuré pour proxifier la comptabilité RADIUS vers le serveur de comptabilité de Purple (UDP 1813).

Phase 3 : Configuration de la plateforme Purple

Étape 1 — Enregistrer le matériel. Dans le portail Purple, accédez à Locations > Hardware. Ajoutez l'adresse IP publique du contrôleur Aruba ou le NAS-Identifier. Ceci permet à Purple d'associer les requêtes d'authentification au bon lieu.

Étape 2 — Configurer la page d'accueil (Splash Page). Concevez l'expérience du Captive Portal à l'aide du constructeur de portail de Purple. Configurez les méthodes d'authentification, les termes et conditions, et les champs d'opt-in marketing en conformité avec le GDPR.

Étape 3 — Récupérer les identifiants RADIUS. Sous Locations > [Venue] > RADIUS Settings, récupérez les adresses IP du serveur RADIUS, le secret partagé et les ports. Utilisez ces valeurs dans la configuration de la cible de proxy ClearPass.

Bonnes pratiques

Maintenance du jardin clos (Walled Garden). Considérez le jardin clos comme une configuration évolutive. Les fournisseurs de connexion sociale mettent régulièrement à jour leurs domaines CDN et leurs plages d'adresses IP. Établissez un processus de révision trimestriel et abonnez-vous aux notifications de changement des principaux fournisseurs.

Redondance RADIUS. Configurez les deux adresses IP du serveur RADIUS de Purple dans ClearPass pour la bascule. De même, déployez ClearPass dans un cluster abonné/éditeur pour éliminer les points de défaillance uniques dans le chemin d'authentification.

Intégrité de la comptabilité. Vérifiez que les enregistrements RADIUS Accounting Stop sont bien reçus par Purple pour chaque session. Les sessions orphelines (Start sans Stop) indiquent un problème réseau et fausseront les données analytiques.

Gestion des certificats pour 802.1X. Pour les SSID d'entreprise utilisant EAP-TLS ou PEAP, assurez-vous que les certificats de serveur sont renouvelés bien avant leur expiration. Un certificat expiré bloquera simultanément tous les appareils d'entreprise — un incident à fort impact.

Profilage des appareils IoT. Tirez parti de ClearPass Device Insight ou du moteur de profilage intégré pour classer automatiquement les appareils IoT par OUI et empreinte DHCP. Ceci permet une attribution VLAN automatisée sans gestion manuelle des adresses MAC.

Conformité GDPR. Purple capture des données personnelles (e-mail, nom, profil social) lors de l'authentification des invités. Assurez-vous que votre page d'accueil Purple inclut une politique de confidentialité conforme etque les politiques de rétention des données dans le portail Purple s'alignent avec les obligations GDPR de votre organisation.

Dépannage et atténuation des risques

Captive Portal ne s'affiche pas

Symptôme : Le client se connecte au SSID invité mais aucun portail n'apparaît ; l'appareil affiche "Connecté, pas d'accès Internet."

Diagnostic : Utilisez une capture de paquets sur la liaison montante du contrôleur pour vérifier que les requêtes DNS pour l'URL du portail sont résolues et que le trafic HTTP est intercepté. Vérifiez que les points de terminaison de vérification CNA/NCSI sont dans le jardin clos (walled garden).

Résolution : Ajoutez les domaines manquants au jardin clos (walled garden). Vérifiez que le profil du Captive Portal est correctement associé au profil AAA du SSID invité.

Échecs d'authentification silencieux

Symptôme : L'utilisateur remplit le formulaire du portail, mais l'accès au réseau est refusé. ClearPass Access Tracker affiche un Access-Reject.

Diagnostic : Ouvrez l'entrée de l'Access Tracker et examinez la raison de l'échec d'authentification. Les causes courantes sont une incompatibilité du secret partagé RADIUS, un serveur RADIUS Purple inaccessible, ou une règle de service incorrecte correspondant au mauvais service.

Résolution : Vérifiez les secrets partagés sur les deux tronçons : contrôleur Aruba vers ClearPass et ClearPass vers Purple. Testez l'accessibilité du serveur RADIUS Purple depuis le serveur ClearPass en utilisant radtest.

Affectation VLAN incorrecte

Symptôme : L'invité s'authentifie avec succès mais reçoit une adresse IP dans le sous-réseau de l'entreprise (VLAN 10).

Résolution : Vérifiez que la valeur Aruba-User-Role dans le profil d'application ClearPass correspond exactement (y compris la casse) au nom de rôle défini sur le contrôleur Aruba. Vérifiez les attributs de sortie de ClearPass Access Tracker pour confirmer que le VSA est envoyé.

Erreurs de délai d'attente RADIUS

Symptôme : L'authentification échoue par intermittence, en particulier sous charge. Access Tracker affiche des erreurs de délai d'attente.

Résolution : Augmentez le délai d'attente du serveur RADIUS sur le contrôleur Aruba à 10 secondes. Vérifiez que les ports UDP 1812 et 1813 sont ouverts et ne sont pas soumis à une limitation de débit sur le pare-feu entre ClearPass et l'infrastructure cloud de Purple.

Retour sur investissement et impact commercial

Le déploiement de cette architecture intégrée génère des retours mesurables pour les fonctions informatiques, de sécurité et commerciales. Du point de vue de la sécurité et de la conformité, la centralisation de tous les événements d'authentification dans ClearPass fournit une piste d'audit unifiée qui simplifie les rapports de conformité PCI DSS et GDPR. La segmentation VLAN dynamique élimine le risque que le trafic invité traverse l'infrastructure d'entreprise, réduisant directement la surface d'attaque.

D'un point de vue commercial, la plateforme Guest WiFi de Purple transforme le réseau invité d'un centre de coûts en un actif de données de première partie. Chaque session invité authentifiée génère des données marketing opt-in — adresses e-mail, fréquence de visite, temps de présence et type d'appareil — qui alimentent directement les plateformes CRM et d'automatisation du marketing. Les établissements déployant Purple en parallèle de leur infrastructure Aruba existante signalent constamment des améliorations mesurables de la croissance des listes d'e-mails, des taux de visites répétées et de la conversion des campagnes.

L'intégration élimine également le besoin de remplacer les licences ClearPass existantes ou le matériel Aruba, ce qui en fait un ajout à faible risque et à rendement élevé à un investissement d'infrastructure existant. Pour les organisations gérant plusieurs sites — une chaîne de magasins, un groupe hôtelier ou un campus universitaire — le portail de gestion centralisé de Purple fournit des analyses inter-sites que ClearPass seul ne peut pas offrir.

Pour les environnements où la compréhension du comportement physique des visiteurs est aussi importante que la sécurité du réseau — tels que les grands espaces de vente au détail ou les pôles de transport — les analyses de Purple s'intègrent naturellement aux données de Indoor Positioning System pour fournir une intelligence spatiale en plus des métriques de connectivité.

Termes clés et définitions

RADIUS Proxy

A configuration where a RADIUS server (ClearPass) forwards authentication requests to another RADIUS server (Purple) based on specific matching criteria, such as the SSID name or NAS-Identifier.

Used when an organisation wants to maintain a single NAC solution internally while utilising a third-party cloud service for guest authentication. The proxy preserves the central audit log in ClearPass while delegating the authentication decision to Purple.

Change of Authorization (CoA)

A RADIUS extension defined in RFC 5176 that allows a RADIUS server to dynamically modify the session authorisation attributes of an active client connection without requiring the client to disconnect.

Critical for captive portal deployments. CoA allows Purple to signal the Aruba controller to transition a user from the pre-authentication logon role to the post-authentication guest role the moment the user completes the portal form.

Walled Garden

A pre-authentication access control list on the Aruba controller that permits unauthenticated devices to reach specific IP addresses and domains required for the captive portal to function.

If the device cannot reach the portal URL, social login provider endpoints, or OS-level captive portal detection URLs (Apple CNA, Microsoft NCSI), the portal will fail to load. This is the most common source of captive portal deployment failures.

Vendor-Specific Attribute (VSA)

Custom RADIUS attributes defined by network equipment vendors (Vendor ID 14823 for Aruba) to extend the standard RADIUS protocol with proprietary instructions.

The Aruba-User-Role VSA (Attribute 1) is the primary mechanism by which ClearPass instructs the Aruba controller which role to assign to an authenticated user. The value must exactly match a role defined on the controller.

Dynamic VLAN Assignment

The process of placing a user or device into a specific VLAN based on their authenticated identity or assigned role, rather than the physical port or SSID they connected to.

Enables venue operators to broadcast a single guest SSID while securely segmenting standard guests, VIP guests, IoT devices, and contractors onto separate, isolated network segments — a requirement for PCI DSS compliance.

Enforcement Profile

A ClearPass configuration object that defines the specific RADIUS attributes and values to return to the network device when a device successfully matches an authentication service.

This is where the business logic of 'if guest, then assign guest role' is translated into specific RADIUS VSAs sent to the Aruba controller. A misconfigured Enforcement Profile is a common cause of incorrect VLAN assignment.

Captive Network Assistant (CNA)

The mini-browser built into iOS, macOS, Android, and Windows that automatically detects a captive portal by making HTTP requests to known endpoints and prompts the user to authenticate.

Understanding CNA behaviour is essential for troubleshooting portal display issues on specific device types. The CNA endpoints (captive.apple.com, www.msftconnecttest.com) must be in the walled garden.

Access Tracker

The real-time diagnostic tool within ClearPass Policy Manager that logs every RADIUS authentication and accounting event, including the request attributes, matched service, applied enforcement profile, and result.

The first diagnostic tool to consult when troubleshooting authentication failures or incorrect role assignments. It provides a complete record of what ClearPass received, what decision it made, and what it returned to the network device.

RADIUS-as-a-Service (RaaS)

A cloud-delivered RADIUS authentication service where the RADIUS server infrastructure is managed and hosted by a third-party provider rather than on-premises.

Purple's RADIUS-as-a-Service eliminates the need for venues to deploy and manage their own RADIUS infrastructure for guest authentication, while integrating with existing on-premises NAC solutions like ClearPass via the proxy architecture described in this guide.

Études de cas

A 500-room hotel group with Aruba controllers and ClearPass deployed centrally needs to provide secure 802.1X WiFi for staff, a branded captive portal for guests, and isolated connectivity for IoT devices (smart TVs, thermostats, door locks). How should they architect the authentication flow?

Deploy three SSIDs: Hotel_Corp (802.1X, WPA2-Enterprise), Hotel_Guest (open SSID with captive portal redirect), and Hotel_IoT (open SSID with MAC-based authentication). All three SSIDs point to ClearPass as the RADIUS server. In ClearPass, create three Services: Service 1 matches Hotel_Corp and authenticates against Active Directory via PEAP-MSCHAPv2, returning ROLE_CORP (VLAN 10, full internal access). Service 2 matches Hotel_Guest and uses a RADIUS Routing Policy to proxy requests to Purple's RADIUS servers; the Enforcement Profile returns Aruba-User-Role = guest-authenticated (VLAN 20, internet only, 10 Mbps). Service 3 matches Hotel_IoT and uses ClearPass Device Profiling to classify devices by OUI; the Enforcement Profile returns ROLE_IOT (VLAN 30, local only, no internet). The walled garden on the Aruba controller includes Purple's portal domains, Facebook, Google, and Apple's CNA endpoint.

Notes de mise en œuvre : This architecture correctly separates the three authentication paths while maintaining ClearPass as the single policy decision point. The key design decision is using RADIUS proxy for guest traffic rather than configuring the Aruba controller to talk directly to Purple — this preserves the unified audit trail in ClearPass and allows the organisation to apply additional ClearPass policies (e.g., time-of-day restrictions) to guest sessions in the future without changing the Aruba configuration.

A retail chain is rolling out Purple across 120 stores, all running Aruba Instant APs. Guest authentication latency is high and portal drop-offs are occurring. Preliminary investigation shows the RADIUS timeout is set to the default 3 seconds.

Increase the RADIUS server timeout on all Aruba Instant APs to 10 seconds and configure 3 retries. Deploy both of Purple's RADIUS server IPs as primary and secondary servers in the Instant AP configuration to provide failover. Review the walled garden configuration to ensure all social login provider domains are included, as incomplete walled gardens cause the portal page to load slowly or partially, increasing perceived latency. Enable RADIUS Accounting on the Instant APs to ensure Purple receives session data. Finally, review the Purple portal design to minimise the number of external resource calls (fonts, images) that must load before the authentication form is displayed.

Notes de mise en œuvre : The 3-second default timeout is a common source of intermittent failures in proxy architectures. The request travels from the AP to Purple's cloud and back, and on a congested or high-latency WAN link this can easily exceed 3 seconds. Increasing the timeout is the immediate fix, but the root cause investigation should also examine whether the ClearPass-to-Purple network path is optimal and whether Purple's RADIUS servers are geographically close to the ClearPass deployment.

Analyse de scénario

Q1. Your deployment requires guests to authenticate via Facebook login. The Purple portal loads, but when users tap the Facebook button, the page times out and returns an error. Corporate 802.1X authentication is working correctly. What is the most likely cause and how do you resolve it?

💡 Astuce :Consider what the device is permitted to access before it has completed authentication. The portal page loaded, so the portal domain is in the walled garden — but what about the resources the portal needs to call?

Afficher l'approche recommandée

The walled garden configuration on the Aruba controller is missing the required Facebook authentication domains and CDN endpoints (*.facebook.com, *.fbcdn.net, *.facebook.net). Pre-authentication traffic to Facebook's OAuth servers is being blocked by the controller's default-deny policy. Resolution: add the missing Facebook domains to the walled garden. Also verify that Google's domains are included if Google login is also offered. Use a browser developer tools network trace from a test device to identify any additional blocked domains.

Q2. You want to use a single SSID ('VenueWiFi') for both corporate employees (802.1X) and guests (captive portal via Purple). How do you configure ClearPass to correctly differentiate and route the two authentication types?

💡 Astuce :ClearPass Services are matched in priority order. Consider how 802.1X and MAC-Auth requests differ at the RADIUS protocol level, and how Service Rules can exploit this difference.

Afficher l'approche recommandée

Create two ClearPass Services, both matching the SSID 'VenueWiFi'. Service 1 (higher priority) uses a Service Rule matching on the RADIUS attribute 'Service-Type EQUALS Framed-User' or the presence of EAP attributes, identifying 802.1X requests. It authenticates against Active Directory and returns ROLE_CORP. Service 2 (lower priority) matches MAC-Auth requests (Service-Type EQUALS Call-Check or Authenticate-Only). It uses a RADIUS Routing Policy to proxy the request to Purple. The Enforcement Profile for Service 2 returns the pre-auth logon role, triggering the captive portal. When Purple sends the post-authentication RADIUS request, it is matched by Service 2 and returns the guest-authenticated role.

Q3. Guest authentication is successful — the Purple dashboard shows the user as active and the ClearPass Access Tracker shows an Access-Accept. However, the user cannot access the internet and the Aruba controller shows the user is still in the 'logon' role. What are the two most likely causes?

💡 Astuce :The authentication succeeded and ClearPass sent an Accept. The problem is therefore in what ClearPass sent back, or in how the Aruba controller interpreted it.

Afficher l'approche recommandée

Cause 1: The ClearPass Enforcement Profile is not configured to return the Aruba-User-Role VSA, or is returning an empty value. Check the Enforcement Profile and verify the VSA is explicitly set. Cause 2: The Aruba-User-Role value returned by ClearPass does not exactly match (including capitalisation) a role defined on the Aruba controller. For example, ClearPass returns 'guest-authenticated' but the controller has 'Guest-Authenticated' defined. Resolution: Open the ClearPass Access Tracker entry, expand the Output Attributes section, and verify the Aruba-User-Role value. Then cross-reference this value against the role names defined on the Aruba controller under Configuration > Roles.

Q4. A stadium venue wants to offer tiered guest WiFi: a free tier with 5 Mbps and mandatory portal authentication, and a premium tier with 50 Mbps for ticket holders who have pre-registered. Both tiers use the same SSID. How would you architect this using ClearPass and Purple?

💡 Astuce :Think about how ClearPass can differentiate between the two user types post-authentication, and how Purple can pass identity information to ClearPass to enable this differentiation.

Afficher l'approche recommandée

Configure Purple to pass a user attribute (e.g., a custom RADIUS attribute or the Class attribute) indicating whether the user is a registered ticket holder. In ClearPass, create a Role Mapping Policy that checks this attribute: if present and valid, assign ROLE_VIP; otherwise assign ROLE_GUEST. Create two Enforcement Profiles: ROLE_GUEST returns Aruba-User-Role = guest-standard (VLAN 20, 5 Mbps bandwidth contract); ROLE_VIP returns Aruba-User-Role = guest-premium (VLAN 40, 50 Mbps). On the Aruba controller, define both roles with the appropriate VLAN and bandwidth contracts. This approach uses a single SSID and single Purple portal while delivering differentiated service levels based on user identity.