Aruba ClearPass vs. Purple WiFi : comparaison des fonctionnalités et co-déploiement
Un guide technique complet détaillant l'architecture de co-déploiement d'Aruba ClearPass et Purple WiFi. Il couvre la configuration du proxy RADIUS, l'attribution dynamique de VLAN et les meilleures pratiques pour fournir des réseaux invités sécurisés et axés sur l'analyse de données, aux côtés du NAC d'entreprise.
Écouter ce guide
Voir la transcription du podcast
- Résumé exécutif
- Analyse technique approfondie
- Architecture centrale
- Flux de proxy RADIUS
- Attribution dynamique de VLAN basée sur les rôles
- Guide de mise en œuvre
- Étape 1 : Configurer les serveurs RADIUS de Purple dans ClearPass
- Étape 2 : Créer une politique de routage RADIUS
- Étape 3 : Définir le service invité
- Étape 4 : Configurer le Walled Garden sur le contrôleur
- Étape 5 : Configurer la comptabilisation RADIUS
- Bonnes pratiques
- Dépannage et atténuation des risques
- Mauvaise configuration du Walled Garden
- Erreurs de dépassement de délai RADIUS
- Non-concordance de la clé secrète partagée (Shared Secret)
- Sensibilité à la casse du nom de rôle
- ROI et impact commercial
- Références

Résumé exécutif
Pour les environnements d'entreprise fortement investis dans l'infrastructure HPE Aruba, la gestion de politiques d'accès réseau complexes tout en offrant une expérience WiFi invité fluide et riche en données présente un défi architectural majeur. Alors qu'Aruba ClearPass Policy Manager excelle dans le contrôle d'accès réseau (NAC) et la sécurité 802.1X pour les appareils de l'entreprise, son Captive Portal intégré manque souvent de l'automatisation marketing avancée et des analyses requises par les sites modernes. Ce guide détaille comment intégrer Purple WiFi avec ClearPass, permettant à chaque plateforme de se concentrer sur ses points forts.
En déployant ClearPass en tant que proxy RADIUS, vous conservez une piste d'audit de sécurité unifiée et une attribution dynamique de VLAN pour les appareils d'entreprise et IoT, tout en déléguant l'expérience d'intégration des invités à Purple. Cette approche permet une collecte de données de première partie conforme au GDPR, des analyses détaillées de fréquentation et des intégrations avec plus de 400 connecteurs marketing - le tout sans remplacer votre investissement NAC Aruba existant. Ce document fournit le plan technique de ce co-déploiement, couvrant l'architecture, les flux de configuration et les meilleures pratiques.
Analyse technique approfondie
L'intégration d'Aruba ClearPass et de Purple WiFi repose sur les protocoles RADIUS standard et les mécanismes de redirection HTTP, structurés autour d'une architecture de proxy RADIUS. Cette conception garantit que ClearPass reste le point de décision central des politiques pour tous les accès réseau, tandis que Purple gère le Captive Portal destiné aux invités et la collecte de données.
Architecture centrale
Dans un co-déploiement standard, vos contrôleurs de mobilité Aruba ou vos points d'accès Aruba Instant diffusent plusieurs SSIDs. Un modèle de conception typique, tel que détaillé dans Three SSIDs to rule them all: the WiFi design for guest, staff and IoT , utilise trois réseaux dédiés :
- SSID d'entreprise : Utilise le 802.1X avec EAP-TLS. Les appareils s'authentifient à l'aide de certificats provisionnés via ClearPass Onboard. ClearPass évalue la posture de l'appareil, interroge Microsoft Entra ID ou Active Directory, et affecte l'appareil au VLAN d'entreprise (par exemple, VLAN 10). Purple n'intervient pas dans ce flux.
- SSID IoT : Utilise le bypass d'authentification MAC (MAB). ClearPass profile l'appareil à l'aide de son identifiant unique d'organisation (OUI) et l'affecte à un VLAN IoT isolé (par exemple, VLAN 30) sans accès internet.
- SSID Invité : Un réseau ouvert ou avec chiffrement sans fil opportuniste (OWE) qui déclenche le Captive Portal de Purple.

Flux de proxy RADIUS
Lorsqu'un visiteur se connecte au SSID invité et ouvre un navigateur, le contrôleur Aruba intercepte le trafic HTTP et redirige la session vers l'URL du Captive Portal de Purple. Le visiteur s'authentifie via Purple à l'aide d'une connexion sociale, de formulaires personnalisés ou d'OpenRoaming (où Purple agit en tant que fournisseur d'identité gratuit dans le cadre du forfait Connect).
Une fois que Purple a validé le visiteur, il envoie un message RADIUS Access-Accept. Cependant, au lieu que le contrôleur Aruba contacte directement les serveurs RADIUS cloud de Purple, ClearPass est intégré en tant que proxy RADIUS :
- Le contrôleur Aruba envoie toutes les requêtes RADIUS à ClearPass.
- ClearPass évalue la requête par rapport à ses règles de service. Si la requête correspond au SSID invité (identifié par le
Called-Station-Idou l'identifiant NAS), la politique de routage RADIUS transfère la requête aux serveurs RADIUS de Purple. - Purple répond par un message Access-Accept.
- ClearPass reçoit cette réponse et applique sa propre politique d'application, en ajoutant des attributs spécifiques au fournisseur (VSA) avant de transmettre la réponse finale au contrôleur.
Attribution dynamique de VLAN basée sur les rôles
L'attribut VSA clé de cette architecture est Aruba-User-Role. Lorsque ClearPass transmet le message Access-Accept au contrôleur, il inclut cet attribut pour définir précisément le rôle que le visiteur doit assumer sur le réseau WiFi.
Par exemple, ClearPass peut renvoyer Aruba-User-Role = guest-authenticated. Sur le contrôleur Aruba, ce rôle est associé au VLAN 20, qui est configuré avec des politiques de pare-feu autorisant l'accès à internet mais bloquant le routage vers les sous-réseaux d'entreprise internes. Cette segmentation est essentielle pour la conformité avec des normes telles que PCI-DSS [1].

Guide de mise en œuvre
Le déploiement de cette architecture nécessite une configuration précise à la fois sur l'infrastructure Aruba et sur ClearPass. Suivez ces étapes neutres vis-à-vis des fournisseurs pour établir l'intégration.
Étape 1 : Configurer les serveurs RADIUS de Purple dans ClearPass
Naviguez vers Configuration > Network > Devices dans ClearPass et ajoutez les serveurs RADIUS principal et secondaire de Purple en tant que périphériques réseau. Vous aurez besoin des adresses IP et du secret partagé fournis dans votre tableau de bord de configuration de site Purple.
Étape 2 : Créer une politique de routage RADIUS
Créez une nouvelle politique de routage RADIUS dans ClearPass. Cette politique déterminera dans quelles conditions les requêtes sont relayées vers Purple. Définissez les destinations principale et de secours sur les serveurs RADIUS de Purple que vous avez configurés à l'étape 1.
Étape 3 : Définir le service invité
Créez un nouveau service dans ClearPass pour l'authentification des invités.
- Type : Application RADIUS (générique)
- Règles de service : Faites correspondre le
Radius:IETF:Called-Station-Idcontenant le nom de votre SSID invité. - Politique de routage : Sélectionnez la politique créée à l'étape 2.
- Politique d'application : Configurez une politique pour renvoyer le VSA
Aruba-User-Roleavec la valeur correspondant à votre rôle invité sur le contrôleur Aruba.
Étape 4 : Configurer le Walled Garden sur le contrôleur
Le walled garden est une liste de domaines auxquels un appareil peut accéder avant de s'authentifier. Il se configure sur le contrôleur Aruba (ou via des règles d'accès dans ArubaOS 10). Vous devez inclure les domaines de base de Purple :
*.purple.ai*.cloudfront.net*.venuewifi.com
Si vous activez les connexions via les réseaux sociaux, vous devez également ajouter les domaines OAuth de chaque fournisseur (par exemple *.facebook.com, *.google.com, *.microsoftonline.com).
Étape 5 : Configurer la comptabilisation RADIUS
Assurez-vous que la comptabilisation RADIUS est également relayée via ClearPass vers Purple. Purple utilise les données de comptabilisation (Acct-Start, Acct-Interim-Update, Acct-Stop) pour suivre la durée des sessions et alimenter son tableau de bord d'analyses WiFi WiFi Analytics . Définissez l'intervalle de comptabilisation sur 5 minutes sur le contrôleur Aruba.
Bonnes pratiques
Pour garantir un déploiement robuste et cohérent, suivez ces recommandations conformes aux standards du secteur.
- Ségréguer strictement le trafic : Placez toujours le trafic invité sur un VLAN dédié sans accès aux ressources de l'entreprise. C'est une exigence fondamentale pour la conformité PCI-DSS et la sécurité générale du réseau.
- Relayer les données de comptabilisation : Ne négligez pas la comptabilisation RADIUS. Si les paquets de comptabilisation n'atteignent pas Purple, vos analyses de fréquentation et vos rapports de temps de présence seront incomplets.
- Activer WISPr : Sur le profil de Captive Portal du contrôleur Aruba, assurez-vous que le protocole WISPr (Wireless Internet Service Provider roaming) est activé. Ce protocole permet aux systèmes d'exploitation mobiles de détecter automatiquement le Captive Portal et d'afficher l'écran de connexion de manière fluide.
- Utiliser le consentement actif : Pour la conformité GDPR, configurez votre portail Purple pour utiliser des cases d'acceptation explicites et non pré-cochées pour les communications marketing, plutôt que de présumer du consentement [2].
Dépannage et atténuation des risques
Même avec une configuration minutieuse, des problèmes d'intégration peuvent survenir. Voici les modes de défaillance les plus courants et la manière de les résoudre.
Mauvaise configuration du Walled Garden
Si le Captive Portal ne parvient pas à se charger sur l'appareil d'un visiteur, la cause première est presque toujours liée au walled garden. Les fournisseurs de connexion sociale mettent fréquemment à jour les plages d'adresses IP de leurs CDN et leurs noms de domaine. Considérez le walled garden comme une configuration en constante évolution. Si une connexion sociale spécifique échoue, utilisez une capture de paquets pour identifier le domaine que l'appareil tente de joindre et ajoutez-le à la liste des domaines autorisés.
Erreurs de dépassement de délai RADIUS
Le délai d'attente RADIUS par défaut sur la plupart des contrôleurs Aruba est de 3 secondes. Dans une architecture proxy, la demande d'authentification doit voyager du point d'accès au contrôleur, puis à ClearPass, traverser Internet jusqu'à l'infrastructure cloud de Purple, et revenir. Sur un réseau encombré, cet aller-retour peut facilement dépasser 3 secondes, ce qui amène le contrôleur à rejeter la demande. Augmentez le délai d'attente RADIUS sur le contrôleur Aruba à au moins 10 secondes et configurez une logique de tentative.
Non-concordance de la clé secrète partagée (Shared Secret)
RADIUS s'appuie sur des clés secrètes partagées pour la sécurité. Si la clé secrète partagée entre le contrôleur Aruba et ClearPass, ou entre ClearPass et Purple, ne correspond pas exactement, l'authentification échouera silencieusement. Le visiteur ne verra aucun message d'erreur explicite. Vérifiez toujours ces clés caractère par caractère si l'authentification échoue.
Sensibilité à la casse du nom de rôle
La valeur de l'attribut VSA Aruba-User-Role renvoyée par ClearPass doit correspondre exactement au nom de rôle défini sur le contrôleur Aruba, y compris la casse. Si ClearPass renvoie guest-authenticated mais que le contrôleur attend Guest-Authenticated, le visiteur sera redirigé par défaut vers le rôle de connexion de base et n'obtiendra pas d'accès Internet.
ROI et impact commercial
Le déploiement de Purple WiFi au lieu d'un simple Captive Portal local apporte une valeur commerciale mesurable à plusieurs départements.
- Impact marketing : En capturant des données de première main via le portail, les sites constatent une augmentation significative de leurs bases de données marketing. Par exemple, Harrods a obtenu un ROI marketing multiplié par 57 en utilisant Purple pour encourager les inscriptions à son programme de fidélité [3].
- Efficacité opérationnelle : L'architecture proxy RADIUS réduit la charge opérationnelle de l'équipe informatique. Les équipes de sécurité conservent une interface unique dans ClearPass pour tous les événements d'accès réseau, ce qui simplifie les rapports de conformité et le dépannage.
- Monétisation : Pour les sites des secteurs du transport ou de l'hôtellerie , Purple permet de proposer des modèles de bande passante à plusieurs niveaux. AGS Airports a généré un ROI de 842 % en mettant en œuvre un niveau WiFi premium payant parallèlement à un niveau de base gratuit [4].
En mettant en œuvre ce co-déploiement, vous transformez votre réseau invité d'un centre de coûts en un actif générateur de revenus, tout en maintenant la posture de sécurité rigoureuse requise pour l'informatique d'entreprise.
Références
[1] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [2] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [3] Purple. "Harrods Guest WiFi Case Study." [4] Purple. "AGS Airports Guest WiFi Case Study."
Définitions clés
Proxy RADIUS
Une architecture dans laquelle un serveur intermédiaire (ClearPass) reçoit des demandes d'authentification de la part d'un équipement réseau (contrôleur Aruba) et les transmet au serveur principal approprié (Purple), permettant ainsi au proxy d'inspecter, de consigner ou de modifier le trafic.
Utilisé pour maintenir une piste d'audit de sécurité unique dans ClearPass tout en permettant à Purple de gérer l'authentification des invités.
Walled Garden
Un environnement limité qui contrôle l'accès d'un utilisateur au contenu web avant qu'il ne soit pleinement autorisé sur le réseau.
Essentiel pour les Captive Portals ; le walled garden doit autoriser l'accès aux domaines d'hébergement du portail et aux fournisseurs de connexion sociale afin que la page de connexion puisse se charger.
Attribut spécifique au fournisseur (VSA)
Champs de données personnalisés au sein du protocole RADIUS qui permettent aux fournisseurs de matériel de prendre en charge des fonctionnalités propriétaires non définies dans les RFC RADIUS standard.
ClearPass utilise le VSA "Aruba-User-Role" pour indiquer au contrôleur Aruba exactement quel rôle de pare-feu et quel VLAN attribuer à un utilisateur invité.
802.1X
Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau LAN ou WLAN.
Le protocole principal utilisé par ClearPass pour sécuriser les appareils de l'entreprise, généralement en utilisant EAP-TLS avec des certificats.
Captive Portal
Une page web que l'utilisateur d'un réseau d'accès public est obligé de consulter et avec laquelle il doit interagir avant que l'accès ne lui soit accordé.
Purple fournit l'interface de Captive Portal pour capturer les données des visiteurs, afficher l'image de marque et recueillir le consentement marketing.
Bypass d'authentification MAC (MAB)
Une technique qui utilise l'adresse MAC d'un appareil pour l'authentifier sur le réseau lorsque l'appareil ne prend pas en charge les demandeurs 802.1X.
Utilisé par ClearPass pour profiler et authentifier les appareils IoT sans écran comme les téléviseurs intelligents ou les thermostats, en les plaçant dans un VLAN isolé.
Attribution dynamique de VLAN
Le processus consistant à attribuer automatiquement un appareil à un réseau local virtuel (VLAN) spécifique en fonction de ses identifiants d'authentification ou de son rôle, plutôt qu'en fonction du SSID auquel il s'est connecté.
Permet à une seule infrastructure réseau physique de segmenter de manière sécurisée le trafic de l'entreprise, des invités et de l'IoT.
WISPr
Itinérance de fournisseur de services Internet sans fil - un protocole qui permet aux appareils de détecter automatiquement les portails captifs.
Doit être activé sur le contrôleur Aruba pour que les appareils mobiles affichent automatiquement l'écran de connexion Purple lors de la connexion au WiFi invité.
Exemples concrets
Un hôtel de 500 chambres doit déployer un réseau WiFi d'entreprise sécurisé pour le personnel et un portail invité personnalisé avec capture de données pour les visiteurs, en utilisant les contrôleurs Aruba et ClearPass existants.
Déployez deux SSID : "Hotel_Corp" et "Hotel_Guest". Configurez "Hotel_Corp" pour l'authentification 802.1X par rapport à Active Directory via ClearPass, en attribuant le personnel au VLAN 10. Configurez "Hotel_Guest" comme un réseau ouvert redirigeant vers le Captive Portal de Purple. Configurez ClearPass en tant que proxy RADIUS pour le SSID invité, en transmettant les requêtes à Purple. Configurez ClearPass pour renvoyer l'attribut VSA "Aruba-User-Role" après une authentification réussie sur Purple, attribuant ainsi les invités à un VLAN 20 isolé.
Les visiteurs se connectent au SSID invité, mais la page du Captive Portal de Purple ne parvient pas à se charger sur leurs appareils.
Vérifiez et mettez à jour la configuration du walled garden sur le contrôleur Aruba. Assurez-vous que les domaines principaux de Purple (*.purple.ai, *.cloudfront.net, *.venuewifi.com) sont explicitement autorisés. Si la connexion via les réseaux sociaux est activée, vérifiez que tous les domaines OAuth nécessaires (par exemple, *.facebook.com, *.google.com) sont également inclus dans la liste d'autorisation de pré-authentification.
Questions d'entraînement
Q1. Vous avez configuré ClearPass pour relayer l'authentification des invités vers Purple. L'invité s'authentifie avec succès sur le portail Purple, mais le contrôleur Aruba le place dans le rôle 'logon' par défaut sans accès à Internet au lieu du rôle 'guest-access' prévu. Quelle est l'erreur de configuration la plus probable ?
Conseil : Vérifiez comment ClearPass communique l'attribution des rôles au contrôleur.
Voir la réponse type
La casse du nom du rôle ne correspond pas. La valeur du VSA Aruba-User-Role renvoyée par ClearPass doit correspondre exactement au nom du rôle défini sur le contrôleur Aruba. S'il y a une faute de frappe ou une différence de casse (par exemple, 'Guest-Access' au lieu de 'guest-access'), le contrôleur ne reconnaîtra pas le rôle et placera l'utilisateur dans l'état restreint par défaut.
Q2. Une chaîne de magasins souhaite déployer Purple WiFi pour l'analyse des données de fréquentation, mais son équipe de sécurité insiste pour que tous les événements d'authentification réseau soient enregistrés de manière centralisée dans son système Aruba ClearPass existant pour des raisons de conformité. Comment concevoir cette architecture ?
Conseil : Considérez le flux du trafic RADIUS entre les points d'accès, ClearPass et Purple.
Voir la réponse type
Implémentez une architecture proxy RADIUS. Configurez les contrôleurs Aruba pour envoyer toutes les requêtes RADIUS à ClearPass. Dans ClearPass, créez une politique de routage qui transfère les requêtes du SSID invité vers les serveurs cloud RADIUS de Purple. Cela garantit que Purple gère le portail invité et les analyses, tandis que ClearPass conserve une piste d'audit centralisée et complète de tous les événements d'authentification.
Q3. Après le déploiement de l'intégration, l'équipe marketing signale que le tableau de bord analytique Purple affiche zéro donnée pour le "temps de séjour" des visiteurs, même si les invités se connectent et utilisent Internet avec succès. Quelle étape de configuration a été omise ?
Conseil : Les calculs de temps de séjour nécessitent des mises à jour régulières de l'état de la session, pas seulement l'authentification initiale.
Voir la réponse type
L'accounting RADIUS n'est pas relayé vers Purple. Bien que le proxy d'authentification autorise les utilisateurs sur le réseau, Purple a besoin des paquets d'accounting RADIUS (Acct-Start, Acct-Interim-Update, Acct-Stop) pour calculer la durée de session et le temps de séjour. Vous devez vous assurer que ClearPass est configuré pour relayer les données d'accounting vers Purple, et que le contrôleur est configuré pour envoyer des mises à jour intermédiaires (par exemple, toutes les 5 minutes).
Continuer la lecture de cette série
Configuration de l'authentification RADIUS pour les réseaux WiFi invités et collaborateurs
Ce guide de référence technique présente l'architecture, la configuration et le déploiement de l'authentification RADIUS pour les réseaux WiFi d'entreprise destinés aux invités et aux collaborateurs. Il fournit aux architectes réseau et aux responsables informatiques les protocoles exacts, les normes de sécurité et les méthodologies de dépannage requis pour concevoir des systèmes de contrôle d'accès sans fil sécurisés et évolutifs.
Passpoint et OpenRoaming : Le Guide Complet
Ce guide de référence technique fournit une analyse complète des frameworks Passpoint (Hotspot 2.0) et WBA OpenRoaming au sein des réseaux WiFi d'entreprise. Il détaille les protocoles d'authentification sous-jacents, les composants architecturaux et les stratégies de déploiement nécessaires pour établir une connectivité invité sécurisée et fluide. Les architectes réseau et les responsables informatiques apprendront à concevoir, implémenter et dépanner ces normes afin d'éliminer les obstacles à la connexion manuelle tout en maintenant une sécurité de niveau entreprise.
Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur
Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.