Aruba ClearPass vs. Purple WiFi : comparaison des fonctionnalités et co-déploiement

Exprimez-vous en anglais britannique avec un ton confiant, autoritaire et conversationnel. Vous êtes un consultant réseau senior qui brefe un client. Un rythme mesuré, une diction claire, professionnelle mais pas rigide. Des pauses naturelles occasionnelles pour insister : Bienvenue dans ce briefing technique de Purple. Je suis votre hôte et, aujourd'hui, nous abordons une question qui revient dans presque tous les projets sans fil d'entreprise sur lesquels nous travaillons : lorsque Aruba ClearPass est déjà déployé, quelle est la place de Purple WiFi et comment ces deux systèmes fonctionnent-ils ensemble ? [pause moyenne] Il ne s'agit pas d'une discussion théorique. Si vous êtes responsable informatique, architecte réseau ou ingénieur en sécurité dans un groupe hôtelier, une chaîne de magasins ou un exploitant de stade, c'est une décision que vous devrez peut-être prendre ce trimestre. Alors, entrons dans le vif du sujet. [pause moyenne] Introduction et contexte. [pause courte] Tout d'abord, clarifions la fonction réelle de chaque plateforme. Aruba ClearPass Policy Manager est une plateforme de contrôle d'accès au réseau (NAC). Son rôle est d'authentifier les appareils et les utilisateurs, d'évaluer la posture des terminaux et d'appliquer la politique d'accès sur l'ensemble de votre réseau. Il gère le 802.1X, qui est la norme IEEE pour le contrôle d'accès réseau basé sur les ports, en utilisant des méthodes EAP telles que EAP-TLS avec certificats et PEAP avec nom d'utilisateur et mot de passe. Il s'intègre à Microsoft Entra ID, Okta et d'autres fournisseurs d'identité. Il profile les appareils, vérifie s'ils sont conformes à votre politique de sécurité et leur attribue le bon rôle réseau. Pour les appareils de l'entreprise, ClearPass est excellent. Il a été conçu exactement pour ce cas d'usage. [pause moyenne] Purple WiFi est un outil d'une tout autre nature. Purple est une plateforme cloud d'intelligence WiFi pour les invités. Son rôle est d'authentifier les visiteurs via un Captive Portal personnalisé, de capturer des données de première main grâce à des flux de consentement conformes au GDPR, et d'injecter ces données dans vos outils de marketing et d'analyse. Purple est déployé dans plus de 80 000 sites à travers le monde et a traité 440 millions de connexions rien qu'en 2024. Il s'intègre à plus de 400 connecteurs, y compris des CRM et des plateformes d'automatisation marketing. Pour les réseaux d'invités, Purple est le spécialiste. [pause moyenne] Le problème auquel la plupart des organisations sont confrontées est qu'elles tentent d'utiliser une seule plateforme pour effectuer les deux tâches. Soit elles demandent à ClearPass de gérer leur portail invité, ce qu'il sait faire mais pas de manière fluide, soit elles déploient Purple sans réfléchir à la manière dont il s'articule avec leur investissement NAC existant. La bonne solution consiste en une architecture de co-déploiement où chaque plateforme fait ce qu'elle fait de mieux. [pause moyenne] Analyse technique approfondie. [pause courte] Laissez-moi vous présenter l'architecture. Dans un co-déploiement, votre contrôleur de mobilité Aruba ou vos points d'accès Aruba Instant diffusent plusieurs SSIDs. En général trois : un pour les appareils de l'entreprise, un pour les invités et un pour l'IoT. Pour en savoir plus sur ce modèle de conception de SSIDs, Purple a publié un guide détaillé intitulé "Three SSIDs to rule them all" (Trois SSIDs pour régner sur tous), que je vous recommande de lire en parallèle de ce briefing. [pause moyenne] L'SSID d'entreprise utilise 802.1X avec EAP-TLS. Les appareils s'authentifient à l'aide de certificats provisionnés via ClearPass Onboard, le module d'enrôlement de certificats et de provisionnement d'appareils intégré de ClearPass. ClearPass vérifie la posture de l'appareil, valide le certificat, interroge Active Directory ou Microsoft Entra ID, et attribue l'appareil au VLAN approprié. En général, le VLAN 10 pour l'entreprise. Tout ce flux reste au sein de ClearPass. Purple n'intervient pas. [medium pause] C'est sur l'SSID invité que l'intégration s'effectue. Lorsqu'un visiteur se connecte à l'SSID invité, le contrôleur Aruba intercepte son trafic HTTP et redirige son navigateur vers le Captive Portal de Purple. Le visiteur s'authentifie via Purple, par exemple en utilisant une connexion sociale via Google, un formulaire d'e-mail personnalisé ou OpenRoaming, où Purple agit comme un fournisseur d'identité gratuit sous licence Connect. Une fois que Purple a validé le visiteur, il renvoie un message RADIUS Access-Accept au contrôleur, ce qui autorise l'accès internet. [medium pause] Désormais, la décision d'architecture clé est de savoir si vous insérez ClearPass en tant que proxy RADIUS entre le contrôleur et Purple, ou si le contrôleur communique directement avec les serveurs RADIUS de Purple. Pour la plupart des déploiements d'entreprise, le modèle proxy est le bon choix. Voici pourquoi. [medium pause] Avec ClearPass comme proxy RADIUS, chaque événement d'authentification sur votre réseau, qu'il soit d'entreprise ou invité, passe par ClearPass. Vous obtenez une piste d'audit unique. Votre équipe des opérations de sécurité voit tout au même endroit. ClearPass peut ajouter ses propres attributs de politique avant de renvoyer la réponse au contrôleur, permettant ainsi une attribution dynamique de VLAN basée sur le rôle. Et vous conservez la possibilité d'appliquer des politiques supplémentaires sur les sessions des invités, telles que des limites de bande passante ou des restrictions d'accès basées sur le temps. Parlez en anglais britannique avec un ton confiant, autoritaire et conversationnel. Vous êtes un consultant réseau senior briefant un client. Un rythme mesuré, une diction claire, professionnel mais sans rigidité : La configuration du proxy dans ClearPass est simple. Vous créez une politique de routage RADIUS qui correspond à l'SSID invité par l'identifiant NAS ou le Called-Station-ID. Les requêtes correspondant à cette politique sont transférées vers les serveurs RADIUS cloud de Purple. Purple répond, ClearPass ajoute l'attribut spécifique au fournisseur Aruba-User-Role, et le contrôleur place l'invité dans le VLAN 20 avec un accès uniquement internet. [medium pause] Pour les appareils IoT, le troisième SSID utilise le contournement de l'authentification MAC (MAB). ClearPass profile l'appareil à l'aide de son OUI (les six premiers caractères de l'adresse MAC qui identifient le fabricant) et l'attribue à ROLE_IOT, qui correspond au VLAN 30. Ce VLAN n'a pas d'accès internet, seulement une connectivité locale. Vos téléviseurs intelligents, thermostats et serrures de porte sont complètement isolés du trafic d'entreprise et d'invités. [medium pause] Parlons de conformité, car c'est là que l'architecture prend tout son sens. Selon la norme PCI DSS, tout segment de réseau en contact avec des données de titulaires de cartes doit être isolé des réseaux invités. La segmentation VLAN dans cette architecture répond à cette exigence. Conformément au GDPR, le Captive Portal de Purple gère la collecte de consentement avec des options d'adhésion volontaire (opt-in), ce qui signifie que les visiteurs choisissent activement de partager leurs données plutôt que de les voir collectées par défaut. Purple est certifié ISO 27001, conforme au GDPR, et détient la certification Cyber Essentials. ClearPass fournit la piste d'audit dont votre équipe de sécurité a besoin pour les rapports de conformité. [medium pause] Recommandations de mise en œuvre et pièges à éviter. [short pause] Laissez-moi vous présenter les cinq erreurs les plus courantes lors de ce déploiement, et comment les éviter. [medium pause] Numéro un : le walled garden. Avant qu'un visiteur ne s'authentifie, le contrôleur Aruba n'autorise le trafic que vers une liste prédéfinie de destinations. Si les domaines du portail de Purple, ses points de terminaison CDN et les domaines des fournisseurs de connexion sociale ne figurent pas dans cette liste, le portail ne se chargera pas. Vous devez inclure étoile point purple point ai, étoile point cloudfront point net et les domaines OAuth de tous les fournisseurs de connexion sociale que vous activez. Google, Facebook, Apple et Microsoft Entra ID ont tous leurs propres ensembles de domaines. Traitez le walled garden comme une configuration évolutive, car les fournisseurs de connexion sociale modifient périodiquement leurs domaines CDN. [medium pause] Numéro deux : les délais d'attente (timeouts) RADIUS. Le délai d'attente RADIUS par défaut sur la plupart des contrôleurs Aruba est de trois secondes. Dans une architecture proxy, la demande voyage du point d'accès au contrôleur, puis à ClearPass, traverse Internet jusqu'au RADIUS cloud de Purple, et revient. Sur un réseau encombré, cet aller-retour peut dépasser trois secondes. Définissez votre délai d'attente à au moins dix secondes et configurez une logique de tentative avec au moins deux essais. [medium pause] Numéro trois : les incohérences de secret partagé. Le secret partagé entre le contrôleur Aruba et ClearPass doit correspondre exactement. Le secret partagé entre ClearPass et les serveurs RADIUS de Purple doit également correspondre exactement. Une différence d'un seul caractère provoque des échecs d'authentification silencieux sans message d'erreur explicite pour le visiteur. Vérifiez-les toujours caractère par caractère. [medium pause] Numéro quatre : la sensibilité à la casse des noms de rôles. L'attribut Aruba-User-Role renvoyé par ClearPass doit correspondre exactement au nom du rôle défini sur le contrôleur Aruba, y compris la capitalisation. Si ClearPass renvoie guest-authenticated alors que le contrôleur a défini Guest-Authenticated, le visiteur se retrouve avec le rôle de connexion par défaut, sans accès à Internet. [medium pause] Numéro cinq : l'accounting RADIUS. De nombreux déploiements configurent correctement le proxy d'authentification mais oublient de faire de même pour l'accounting. Purple utilise les données d'accounting RADIUS pour suivre la durée des sessions, l'utilisation des données et pour alimenter ses tableaux de bord analytiques. Si l'accounting ne remonte pas vers Purple, vos analyses de fréquentation et vos rapports sur le temps de séjour seront incomplets. [medium pause] Questions-réponses rapides. [short pause] Puis-je exécuter cela sur Aruba Instant plutôt que sur un Mobility Controller complet ? Oui. Aruba Instant prend en charge les serveurs RADIUS externes et la redirection vers le Captive Portal. La configuration diffère légèrement mais les principes sont identiques. [medium pause] Purple prend-il en charge le Change of Authorisation (CoA) ? Oui. Le CoA permet au contrôleur de mettre à jour dynamiquement la session d'un visiteur sans qu'il ait besoin de se reconnecter. C'est particulièrement utile pour les accès limités dans le temps ou les montées en gamme (upgrades). [medium pause] Cela fonctionne-t-il avec le WPA3 ? Oui. Le WPA3-SAE pour les réseaux personnels et le WPA3-Enterprise pour le 802.1X sont tous deux pris en charge. Pour les réseaux invités utilisant des portails captifs, le WPA3-SAE ou un SSID ouvert avec Opportunistic Wireless Encryption sont les choix habituels. [medium pause] Puis-je utiliser un seul SSID pour les employés et les invités ? Oui, mais cela ajoute de la complexité. ClearPass gère à la fois l'authentification 802.1X et MAC sur le même SSID, en utilisant des règles de service pour différencier les types de trafic et les acheminer en conséquence. Pour la plupart des sites, l'utilisation de SSIDs distincts reste la solution la plus propre. [medium pause] Résumé et prochaines étapes. [short pause] ClearPass et Purple sont complémentaires et non concurrents. ClearPass est votre moteur de politique pour les appareils d'entreprise : 802.1X, posture des terminaux, gestion des certificats et piste d'audit unifiée. Purple est votre plateforme d'intelligence invités : Captive Portal personnalisé, collecte de données conforme au GDPR, analyses de fréquentation et automatisation du marketing. [medium pause] L'architecture de co-déploiement utilise ClearPass comme proxy RADIUS. Toutes les demandes d'authentification passent par ClearPass. Les demandes des invités sont acheminées vers le RADIUS cloud de Purple. Les demandes d'entreprise sont gérées localement par ClearPass. Le contrôleur Aruba applique les politiques résultantes via l'attribution dynamique de VLAN. [medium pause] Les trois éléments de configuration indispensables sont : le walled garden (zone d'accès limité), les délais d'expiration (timeouts) RADIUS et la cohérence des noms de rôles. Maîtrisez ces aspects, et vous obtiendrez un déploiement WiFi invité conforme, à forte valeur commerciale, sans compromettre la sécurité de votre entreprise. [medium pause] Pour vos prochaines étapes : récupérez vos identifiants RADIUS de site Purple depuis le tableau de bord Purple, consultez la liste de référence du walled garden dans le guide écrit qui l'accompagne, et testez l'ensemble du flux d'authentification avec un appareil de test dédié avant le déploiement en production. Si vous déployez sur plusieurs sites, la console de gestion multi-sites de Purple vous permet de gérer les configurations du Captive Portal, l'image de marque et les analyses pour l'ensemble de votre parc à partir d'une interface unique. [medium pause] Merci pour votre écoute. Visitez Purple dot ai pour vous entretenir avec un architecte de solutions concernant votre déploiement spécifique.