Skip to main content
Français
Tarifs

Captive Portal basé sur le cloud vs. sur site : Lequel convient à votre entreprise ?

Une comparaison technique complète des architectures de Captive Portal basées sur le cloud et sur site. Ce guide évalue la vitesse de déploiement, les structures de coûts, l'évolutivité et les implications en matière de conformité pour aider les dirigeants informatiques à prendre des décisions éclairées en matière d'infrastructure.

📖 5 min de lecture📝 1,226 mots🔧 2 exemples3 questions📚 8 termes clés

🎧 Écouter ce guide

Voir la transcription
Cloud-Based vs On-Premise Captive Portal: Which Is Right for Your Business? A Purple Technical Briefing — Full Podcast Script [INTRO — approx. 1 minute] Welcome to the Purple Technical Briefing. I'm your host, and today we're cutting straight to one of the most consequential infrastructure decisions facing IT teams in hospitality, retail, and public-sector venues right now: should you deploy a cloud-based captive portal, or keep everything on-premise? If you're an IT manager, network architect, or CTO who's been handed this question — perhaps because you're rolling out guest WiFi across a new property portfolio, or because your current captive portal server is end-of-life — then the next ten minutes are for you. We're going to cover the technical architecture of both approaches, the real cost and compliance trade-offs, and I'll give you a practical framework for making the right call for your specific environment. No vendor pitch, just solid guidance. Let's get into it. [TECHNICAL DEEP-DIVE — approx. 5 minutes] So, first — what are we actually talking about? A captive portal is the authentication gateway that intercepts a guest's HTTP or HTTPS request when they connect to your WiFi network, redirecting them to a login or acceptance page before granting internet access. Every venue running guest WiFi has one, whether they know it or not. The question is where that portal lives and who manages it. In a cloud-based captive portal deployment — sometimes called a hosted captive portal — the portal logic, authentication engine, and data capture layer all run on infrastructure managed by a third-party vendor. Your access points redirect unauthenticated clients to a cloud-hosted URL. The user authenticates, the cloud platform verifies credentials or captures consent, and then signals your network controller to open access. The entire transaction can complete in under two seconds, and your on-site hardware requirement is essentially just your access points and a controller — which itself may also be cloud-managed. Platforms like Purple operate exactly this way. Your access points — whether they're Cisco Meraki, Aruba, Ruckus, or Ubiquiti — redirect to Purple's cloud infrastructure. Purple handles the portal presentation, the data capture, the marketing consent workflow, and the analytics. Your IT team doesn't touch a captive portal server. Updates, security patches, new features — all handled by the vendor. This is the OPEX model: you pay a recurring subscription, and the vendor absorbs the infrastructure and maintenance burden. Now contrast that with an on-premise deployment. Here, you're running a dedicated captive portal server — either physical hardware or a virtual machine — within your own network perimeter. The portal software runs locally. Authentication typically integrates with a RADIUS server, often FreeRADIUS or Microsoft NPS, and may federate with an LDAP or Active Directory instance for enterprise identity management. The access point still redirects unauthenticated clients, but now it's pointing at an internal IP rather than a cloud URL. The on-premise model gives you absolute control. Your guest data never leaves your network boundary. You can implement bespoke authentication flows, integrate directly with property management systems via local API calls, and customise the portal behaviour in ways that a hosted platform may not support. For environments with strict data sovereignty requirements — think NHS trusts, government facilities, or financial services venues — this control is not optional, it's mandated. But that control comes at a cost. You're now responsible for the captive portal server's uptime, patching, capacity planning, and failover. If your on-premise server goes down at 9pm on a Saturday, your guests have no WiFi until someone responds. You need redundancy — ideally an active-passive failover pair — which doubles your hardware spend. And you need your IT team to have the skills to manage it: Linux administration, RADIUS configuration, SSL certificate management, and network-level troubleshooting. Let's talk about scalability, because this is where the gap between the two models becomes most visible. A cloud-based captive portal system scales elastically. If you're running a stadium with 60,000 concurrent users during an event, the cloud platform absorbs that load automatically. Your vendor's infrastructure — built on AWS, Azure, or GCP — handles the authentication burst without you provisioning additional capacity. The same platform that handles your quietest Tuesday morning handles your busiest Saturday night. On-premise doesn't work that way. Your captive portal server has a fixed throughput ceiling based on the hardware you've provisioned. If you've sized for 500 concurrent sessions and you suddenly have 2,000, you'll see authentication timeouts, portal load failures, and frustrated guests. Capacity planning for on-premise deployments requires you to model your peak load scenarios and provision accordingly — which almost always means over-provisioning for the 95% of the time when demand is normal. From a compliance standpoint, both models can satisfy GDPR and PCI DSS requirements, but the implementation paths differ significantly. In a cloud deployment, your vendor's Data Processing Agreement — your DPA — is the critical document. You need to verify that your vendor is a registered data processor, that data is stored within appropriate geographic boundaries, and that their security controls meet your obligations under Article 28 of GDPR. Reputable platforms like Purple publish their DPA, their ISO 27001 certification, and their sub-processor list. Review them. For on-premise, you own the compliance posture entirely. That's both the advantage and the burden. You control where data is stored, how long it's retained, and who has access. But you also need to demonstrate those controls during an audit — which means documented policies, access logs, encryption at rest and in transit, and a tested incident response plan. One more technical consideration worth flagging: WPA3 and IEEE 802.1X. Modern enterprise networks are moving toward WPA3-Enterprise with 802.1X authentication, which eliminates the need for a traditional captive portal entirely for managed devices. But for guest networks — where you can't push certificates to every visitor's personal device — captive portals remain the practical standard. Both cloud and on-premise deployments can coexist with a WPA3 infrastructure; the captive portal sits on a separate guest SSID, isolated from your corporate network via VLAN segmentation. [IMPLEMENTATION RECOMMENDATIONS AND PITFALLS — approx. 2 minutes] Right, so how do you actually make the decision? Here's the framework I use with clients. Start with three questions. First: do you have a data sovereignty requirement that prohibits guest data leaving your network perimeter? If yes, on-premise is your starting point — though you should still evaluate whether a private-cloud deployment satisfies that requirement before committing to physical hardware. Second: what is your IT team's capacity and skill set? Cloud deployments dramatically reduce the operational burden on your team. If you're running a lean IT function across multiple sites, handing portal management to a vendor is almost always the right call. Third: what does your growth trajectory look like? If you're planning to add sites over the next 18 months, a cloud-based captive portal system scales with you without additional infrastructure investment. On-premise scales linearly with cost and complexity. Now, the pitfalls. The most common mistake I see with cloud deployments is treating the vendor DPA as a checkbox rather than a document you actually read. If your vendor is storing guest data in the US and you're operating in the EU, you have a GDPR problem regardless of how good the portal looks. Read the DPA. Verify the sub-processors. Confirm the data residency. For on-premise deployments, the most common failure mode is under-provisioning for failover. A single captive portal server with no redundancy is a single point of failure for your entire guest network. Budget for active-passive failover from day one, not as an afterthought. And for both models: don't neglect SSL certificate management. An expired certificate on your captive portal will trigger browser security warnings that look indistinguishable from a phishing attack to your guests. Automate certificate renewal — Let's Encrypt works perfectly well for this — and monitor expiry dates. [RAPID-FIRE Q&A — approx. 1 minute] A few quick questions I get asked regularly. Can I migrate from on-premise to cloud without disrupting my network? Yes — the transition is typically a DNS and RADIUS redirect change. Plan a maintenance window, test thoroughly in a staging environment first, and have a rollback plan ready. Does a cloud captive portal work if my internet connection goes down? No — and that's a genuine limitation. If your uplink fails, cloud authentication fails too. For venues where connectivity resilience is critical, consider a hybrid model with a local fallback portal. Is Purple's platform suitable for multi-site deployments? Absolutely. Purple's cloud architecture is built for multi-site management — you can manage portal branding, analytics, and user data across hundreds of locations from a single dashboard. That's one of the core value propositions of a hosted captive portal at scale. [SUMMARY AND NEXT STEPS — approx. 1 minute] To wrap up: cloud-based captive portal deployments win on speed, scalability, and reduced operational overhead. They're the right choice for the majority of commercial venues — hotels, retail chains, stadiums, conference centres — where the IT team needs to focus on core infrastructure rather than portal maintenance. On-premise deployments remain the right choice where data sovereignty is non-negotiable, where you need deep customisation that a hosted platform can't provide, or where you're operating in an environment with unreliable internet connectivity. The hybrid model — cloud management with local fallback — is worth evaluating for high-availability environments where both flexibility and resilience are required. If you're evaluating captive portal software right now, I'd recommend starting with Purple's platform for a cloud deployment. The analytics layer alone — visitor demographics, dwell time, return visit rates — delivers ROI that goes well beyond basic WiFi access. You can find more at purple.ai. Thanks for listening. If you found this useful, share it with your network team. We'll see you on the next briefing. [END]

header_image.png

Résumé Exécutif

Lors de la conception d'une architecture WiFi invité, le choix entre un Captive Portal basé sur le cloud et un serveur Captive Portal sur site détermine vos coûts d'infrastructure, vos frais d'exploitation et votre position en matière de conformité pour le cycle de vie du déploiement. Pour les responsables informatiques, les architectes réseau et les CTO, il ne s'agit pas d'une simple préférence logicielle ; c'est une décision architecturale fondamentale.

Un Captive Portal basé sur le cloud transfère les charges de travail d'authentification et de rendu du portail vers un environnement géré par un fournisseur, offrant une évolutivité élastique et une maintenance considérablement réduite. Inversement, un système de Captive Portal sur site conserve toutes les données et la logique d'authentification au sein du périmètre de votre réseau local, offrant un contrôle absolu au prix de dépenses d'investissement et d'une charge opérationnelle plus élevées.

Ce guide propose une comparaison technique rigoureuse des deux modèles de déploiement. Nous examinerons l'architecture, évaluerons le coût total de possession et décrirons des scénarios de mise en œuvre spécifiques pour vous aider à déterminer quel logiciel de Captive Portal correspond à vos objectifs commerciaux et à vos exigences réglementaires.

Approfondissement Technique : Architecture et Flux d'Authentification

Comprendre la distinction entre un Captive Portal hébergé et une solution sur site nécessite d'examiner le flux d'authentification et l'endroit où les processus sous-jacents s'exécutent.

L'Architecture du Captive Portal Basé sur le Cloud

Dans un modèle basé sur le cloud, la logique du Captive Portal, l'authentification RADIUS et les bases de données de capture de données résident sur une infrastructure tierce (par exemple, AWS, Azure, GCP) gérée par un fournisseur comme Purple.

Lorsqu'un appareil client s'associe au SSID invité, le point d'accès local (AP) ou le contrôleur de réseau local sans fil (WLC) intercepte la requête HTTP/HTTPS initiale. Comme l'appareil n'est pas authentifié, le contrôleur redirige le navigateur vers une URL hébergée dans le cloud. L'utilisateur interagit avec le portail — acceptant les conditions, s'authentifiant via la connexion sociale ou remplissant un formulaire. Après une authentification réussie, la plateforme cloud communique avec le contrôleur local (souvent via RADIUS ou une API spécifique au fournisseur) pour autoriser l'adresse MAC du client, lui accordant l'accès à Internet.

Cette architecture est très élastique. Lors des pics de charge — comme la mi-temps dans un stade ou une vente majeure dans le Commerce de Détail — l'infrastructure cloud s'adapte automatiquement pour gérer des milliers de requêtes d'authentification simultanées sans nécessiter de mises à niveau matérielles locales. De plus, des plateformes comme Purple fournissent des analyses WiFi invité et agissent comme un fournisseur d'identité gratuit pour des services comme OpenRoaming sous la licence Connect, ajoutant une valeur significative au-delà du contrôle d'accès de base.

architecture_overview.png

L'Architecture du Serveur Captive Portal sur Site

Un serveur Captive Portal sur site nécessite le déploiement de matériel dédié ou de machines virtuelles (VM) au sein de votre infrastructure réseau locale. Le serveur web du portail, le serveur RADIUS (par exemple, FreeRADIUS, Microsoft NPS) et la base de données utilisateur sont tous maintenus localement par votre équipe informatique.

Le processus de redirection est similaire, mais le client est dirigé vers une adresse IP interne plutôt que vers une URL publique. La transaction d'authentification se déroule entièrement au sein du réseau local (LAN). Ce modèle garantit qu'aucune donnée d'invité ne transite par l'internet public pendant la phase d'authentification, ce qui est souvent une exigence stricte pour les établissements de Santé ou gouvernementaux régis par des politiques strictes de souveraineté des données.

Cependant, le débit d'un système sur site est strictement limité par le matériel provisionné. La planification de la capacité doit tenir compte des sessions simultanées maximales, ce qui entraîne souvent un surprovisionnement important. De plus, l'équipe informatique assume l'entière responsabilité des correctifs du système d'exploitation, du renouvellement des certificats SSL, de la maintenance des bases de données et de la configuration des paires de basculement à haute disponibilité.

Guide de Mise en Œuvre : Recommandations Neutres vis-à-vis des Fournisseurs

Le choix de l'architecture appropriée dépend de vos contraintes opérationnelles spécifiques.

Quand Choisir un Captive Portal Basé sur le Cloud

  1. Déploiements Multi-Sites : Si vous gérez un portefeuille distribué, tel qu'une chaîne Hôtelière ou un réseau de pôles de Transport , un Captive Portal basé sur le cloud offre une gestion centralisée. Vous pouvez déployer des mises à jour de portail, des changements de marque et des modifications de politiques sur des centaines de sites simultanément.
  2. Opérations Informatiques Allégées : Lorsque votre équipe réseau se concentre sur l'infrastructure principale plutôt que sur la maintenance des applications, le fait de confier le système de Captive Portal à un fournisseur SaaS réduit les frais d'exploitation.
  3. Intégration Marketing et Analytique : Les plateformes cloud facilitent intrinsèquement l'agrégation de données. Si votre objectif est de tirer parti des analyses WiFi pour stimuler l'engagement client, un Captive Portal hébergé fournit les intégrations nécessaires prêtes à l'emploi.

Quand Choisir un Captive Portal sur Site

  1. Souveraineté Stricte des Données : Si les cadres réglementaires interdisent aux données des invités de quitter vos locaux physiques ou les frontières nationales, un déploiement sur site est obligatoire.
  2. Environnements Isolés (Air-Gapped) ou à Haute Latence : Les sites avec des liaisons internet peu fiables ne peuvent pas dépendre d'une passerelle d'authentification cloud. Si la liaison WAN échoue, un portail cloud échoue ; un portail sur site peut toujours authentifier les utilisateurs pour l'accès au réseau local.
  3. Deep Intégration personnalisée : Lorsque le portail doit s'interfacer directement avec des systèmes de gestion immobilière (PMS) hérités, hébergés localement, via des API propriétaires qui ne peuvent pas être exposées à Internet.

comparison_chart.png

Bonnes pratiques pour le déploiement d'un Captive Portal

Quel que soit le modèle de déploiement, le respect des normes de l'industrie est essentiel pour la sécurité et l'expérience utilisateur.

  • Segmentation VLAN : Isolez toujours le réseau WiFi invité sur un VLAN dédié, entièrement séparé des ressources de l'entreprise.
  • Gestion des certificats SSL/TLS : Un Captive Portal doit servir ses pages via HTTPS. Les certificats expirés déclencheront de graves avertissements de navigateur, interrompant le flux d'authentification. Pour les déploiements sur site, automatisez le renouvellement des certificats à l'aide de protocoles comme ACME (par exemple, Let's Encrypt). Les fournisseurs de cloud gèrent cela automatiquement.
  • Considérations WPA3 et 802.1X : Bien que WPA3-Enterprise avec 802.1X soit la norme d'or pour les appareils d'entreprise, il est peu pratique pour les réseaux invités où vous ne pouvez pas distribuer de certificats à des appareils non gérés. Par conséquent, un réseau ouvert avec un Captive Portal, ou WPA3-Personal (Opportunistic Wireless Encryption - OWE), reste la norme pour l'accès public.
  • Accords de traitement des données (DPA) : Lorsque vous utilisez un Captive Portal hébergé, examinez rigoureusement le DPA du fournisseur. Assurez-vous qu'ils sont conformes au GDPR, au PCI DSS, et définissez clairement leurs sous-traitants et les lieux de résidence des données.

Dépannage et atténuation des risques

Les modes de défaillance courants diffèrent considérablement entre les deux architectures.

Risques liés au cloud

  • Pannes WAN : Le risque principal est une perte de connectivité Internet. Sans liaison montante, le contrôleur cloud ne peut pas être atteint et l'authentification échoue. Atténuez ce risque avec des liaisons WAN redondantes (par exemple, fibre primaire, 5G/LTE secondaire) ou envisagez Les avantages essentiels du SD WAN pour les entreprises modernes pour assurer une haute disponibilité.
  • Échecs de résolution DNS : Si le DNS local ne parvient pas à résoudre l'URL du portail cloud, la redirection est interrompue. Assurez une infrastructure DNS locale robuste.

Risques sur site

  • Défaillance matérielle : Un seul serveur Captive Portal est un point de défaillance unique. Vous devez déployer un cluster actif-passif ou actif-actif pour assurer une haute disponibilité.
  • Épuisement de la capacité : Des pics inattendus de densité d'utilisateurs peuvent submerger le serveur RADIUS local ou le serveur web, entraînant des délais d'attente. Surveillez rigoureusement les métriques de CPU, de mémoire et de sessions concurrentes.
  • Gestion des correctifs : Les serveurs de portail non corrigés sont des cibles privilégiées pour l'exploitation. Mettez en œuvre une gestion stricte des vulnérabilités et des calendriers de déploiement des correctifs.

Pour les scénarios où le portail génère plus de friction que de valeur, consultez Comment supprimer une connexion Captive Portal (et quand vous devriez le faire) .

ROI et impact commercial

Les modèles financiers de ces architectures sont fondamentalement différents.

Un déploiement de logiciel Captive Portal sur site est un modèle de dépenses en capital (CAPEX). Vous engagez des coûts initiaux importants pour le matériel, les licences d'hyperviseur et l'infrastructure redondante. Les coûts récurrents sont cachés dans les dépenses d'exploitation (OPEX) du temps de votre équipe informatique consacré à la maintenance et au dépannage.

Un Captive Portal basé sur le cloud fonctionne sur un modèle OPEX. Les coûts initiaux sont minimes, limités aux points d'accès et à la configuration initiale. Vous payez un abonnement prévisible et récurrent. Le ROI d'une plateforme cloud est souvent réalisé grâce à la réduction de la charge de travail informatique et à la monétisation des données capturées via des analyses avancées et des intégrations marketing, transformant le WiFi invité d'un centre de coûts en un actif générateur de revenus.

Termes clés et définitions

Captive Portal

A web page that a user of a public access network is obliged to view and interact with before access is granted.

The primary mechanism for authenticating guests and capturing marketing consent on public WiFi networks.

RADIUS (Remote Authentication Dial-In User Service)

A networking protocol that provides centralized Authentication, Authorization, and Accounting (AAA) management for users who connect and use a network service.

The backend protocol used by both cloud and on-premise portals to signal the access point that a user is authorized.

Data Sovereignty

The concept that data is subject to the laws and governance structures within the nation it is collected.

A critical deciding factor for government and healthcare venues evaluating cloud vs. on-premise architectures.

MAC Address Authorization

The process of using a device's Media Access Control address to identify it and grant network access after initial authentication.

How the network controller remembers a device so the user doesn't have to log in every time they roam between access points.

WPA3-Enterprise

The latest Wi-Fi security standard requiring 802.1X authentication and a RADIUS server, providing individualized encryption.

The standard for corporate networks, which operates separately from the open/OWE guest network where the captive portal resides.

VLAN Segmentation

The practice of dividing a physical network into multiple logical networks.

Essential for security, ensuring guest WiFi traffic (and the captive portal) is isolated from internal corporate data.

Data Processing Agreement (DPA)

A legally binding contract that states the rights and obligations of each party concerning the protection of personal data.

Mandatory documentation when utilizing a hosted captive portal to ensure GDPR compliance.

OpenRoaming

A federation of Wi-Fi networks that allows users to automatically and securely connect to participating networks without manual login.

An advanced authentication method supported by platforms like Purple, offering a frictionless alternative to traditional captive portals.

Études de cas

A national retail chain with 400 locations needs to deploy a standardized guest WiFi experience. Their IT team consists of 5 network engineers based at headquarters. They require detailed analytics on customer dwell time and visit frequency to integrate with their CRM.

Deploy a cloud-based captive portal system. The lean IT team cannot manage 400 on-premise portal servers or complex VPN routing back to a centralized on-premise data center. A hosted captive portal allows centralized policy management, immediate scalability, and native API integration for CRM data syncing.

Notes de mise en œuvre : The decisive factors here are the distributed nature of the sites and the requirement for analytics. A cloud architecture offloads the management burden and provides the necessary data aggregation capabilities out-of-the-box.

A large NHS hospital trust requires guest WiFi across its campus. Strict patient data confidentiality policies dictate that no MAC addresses, device identifiers, or user information can be stored on servers outside the UK, and all authentication traffic must remain within the hospital's private network.

Deploy an on-premise captive portal server. The hospital must provision a high-availability cluster of portal servers within their local data center, integrated with their local Active Directory or a dedicated FreeRADIUS instance for guest accounts.

Notes de mise en œuvre : Data sovereignty is the overriding constraint. While some cloud providers offer regional data residency, the requirement that traffic must not leave the private network necessitates an on-premise deployment, despite the higher operational cost.

Analyse de scénario

Q1. A hotel chain is experiencing frequent authentication timeouts during large conferences because their local captive portal server reaches maximum CPU utilization. What is the most operationally efficient architectural solution?

💡 Astuce :Consider which deployment model handles elastic scaling automatically.

Afficher l'approche recommandée

Migrate to a cloud-based captive portal system. Cloud architectures provide elastic scalability, automatically absorbing authentication spikes without requiring the local IT team to provision, configure, or maintain additional hardware.

Q2. A government facility must deploy guest WiFi but has a strict policy that no external DNS resolution or outbound internet traffic is permitted from the management VLAN. Which captive portal architecture must be deployed?

💡 Astuce :Evaluate how a cloud portal redirects clients.

Afficher l'approche recommandée

An on-premise captive portal server must be deployed. A cloud-based portal requires the client to resolve and reach an external URL for authentication. Without outbound internet access from the management/guest VLAN, the redirection will fail. The authentication process must be handled entirely locally.

Q3. You are calculating the total cost of ownership (TCO) for an on-premise captive portal deployment. Beyond the initial server hardware and software licensing, what critical infrastructure component must be included to ensure network resilience?

💡 Astuce :Consider the impact of a single server failure.

Afficher l'approche recommandée

You must include the cost of a secondary server configured for high availability (active-passive or active-active failover). Relying on a single on-premise server creates a single point of failure; if it goes offline, the entire guest network becomes inaccessible.

À propos de nous
Carrières
Rapport B Corp
Forfaits
Fonctionnalités WiFi invité
Tarification WiFi invité
Services professionnels
Réserver une démo
Passwordless WiFi
RADIUS-as-a-Service
WPA-Enterprise
Captive Portal Software
Multi-Tenant WiFi
Staff WiFi
Solutions
WiFi for Marketing Teams
WiFi for IT & Network Teams
WiFi for Small Business
WiFi Marketing & Analytics
Passwordless Onboarding
Industries
WiFi for Hospitality
WiFi for Hotels
WiFi for Retail
WiFi for Healthcare
WiFi for Higher Education
WiFi for Stadiums
WiFi for Restaurants
WiFi for Corporate Offices
Browse all industries
Politiques
Mentions légales
Politique de confidentialité
Conditions d'utilisation
Mes données
Politique en matière de cookies
SLA standard
Resources
WiFi blog
WiFi guides
WiFi glossary
Case studies
All resources
Calculateur de ROI
Calculateur de prix
Access Point Calculator
Guest WiFi Feature Checklist
WiFi Tools
Support Purple
Whatsapp
© 2026 Purple. Tous droits réservés.
Gérer les préférences de cookies