Captive Portal pour HPE Aruba : configurez-le avec le WiFi invité Purple

CAPTIVE PORTAL POUR ARUBA : INTÉGRER PURPLE POUR LE WIFI INVITÉ D'ENTREPRISE Un briefing technique Purple - Environ 10 minutes [INTRODUCTION & CONTEXTE - env. 1 minute] Bienvenue dans la série de briefings techniques Purple. Je suis votre hôte et aujourd'hui, nous abordons un sujet qui revient dans presque toutes nos conversations sur le déploiement sans fil en entreprise : comment configurer un Captive Portal sur l'infrastructure Aruba, et plus particulièrement, comment connecter ce portail à la plateforme d'intelligence WiFi invité de Purple. Si vous utilisez des AP Aruba Instant ou si vous gérez un parc de points d'accès via Aruba Central, cet épisode est pour vous. Nous allons aller vite - il s'agit d'un briefing pour praticiens, pas d'un cours magistral - je suppose donc que vous maîtrisez l'écran de configuration WLAN et que vous comprenez les bases de l'authentification RADIUS. Le problème fondamental que nous résolvons est le suivant : le portail invité intégré d'Aruba est fonctionnel, mais il est limité. Il n'offre pas la capture de données marketing, les flux de consentement conformes au GDPR ou les analyses en temps réel dont les sites d'entreprise ont besoin. Le remplacer par le Captive Portal externe de Purple est la bonne décision architecturale, et aujourd'hui, je vais vous expliquer exactement comment faire. [ANALYSE TECHNIQUE APPROFONDIE - env. 5 minutes] Commençons par l'architecture. Lorsqu'un invité se connecte à votre SSID Aruba et ouvre un navigateur, l'AP intercepte cette requête HTTP sur le port TCP 80 et la redirige vers l'URL du portail externe - dans ce cas, la page d'accueil hébergée sur le cloud de Purple. L'invité s'authentifie via le portail de Purple, qui envoie ensuite un Access-Request RADIUS aux serveurs RADIUS de Purple sur le port UDP 1812. En cas de succès, le serveur RADIUS renvoie un message Access-Accept, et l'AP accorde au client un accès complet à Internet. Les rapports de comptabilisation sont envoyés sur le port UDP 1813 tout au long de la session. Voilà pour le flux fondamental. Passons maintenant à la configuration. Il existe deux plans de gestion avec lesquels vous pourriez travailler : Aruba Instant, qui est le modèle de contrôleur virtuel sur site exécutant ArubaOS 8.x, et Aruba Central, qui est la plateforme de gestion cloud de HPE. Les étapes de configuration sont similaires dans leur concept mais diffèrent dans l'emplacement des paramètres. Commençons par Aruba Instant sur ArubaOS 8. Tout d'abord, vous allez configurer votre serveur RADIUS. Naviguez vers Security, puis Authentication Server, et cliquez sur New. Vous aurez besoin de quatre informations provenant de la plateforme de Purple : l'adresse IP du serveur principal, le port d'authentification - généralement 1812 - le port de comptabilisation (accounting) - généralement 1813 - et le secret partagé (shared secret). Purple les fournit dans votre tableau de bord de configuration de site. Ajoutez un serveur secondaire pour la résilience ; Purple exploite une infrastructure RADIUS multirégionale, vous disposerez donc d'une sauvegarde géographiquement appropriée. Ensuite, créez le profil de Captive Portal externe. Allez dans Sécurité, puis Captive Portal, cliquez sur Nouveau, et définissez le Type sur Externe. Saisissez l'URL de la splash page provenant de la configuration de votre site Purple - il s'agira d'un point de terminaison HTTPS hébergé par Purple. Définissez le port sur 443, activez Utiliser HTTPS, et surtout, définissez le champ WISPr sur Activé. Le protocole WISPr - qui signifie Wireless Internet Service Provider roaming - permet aux appareils de détecter automatiquement le captive portal et de l'afficher correctement, en particulier sur les appareils iOS et Android qui utilisent la détection de captive portal en arrière-plan. Si WISPr n'est pas activé, certains appareils ne parviendront pas à déclencher automatiquement le portail. Maintenant, passons au SSID invité. Créez un nouveau WLAN, définissez l'Usage principal sur Invité, et dans l'onglet Sécurité, définissez le Type de splash page sur Externe - Serveur RADIUS. Associez le profil de captive portal et le serveur RADIUS que vous venez de créer. Définissez l'Intervalle de réauthentification sur une valeur raisonnable - 1440 minutes, soit 24 heures, est un choix courant pour les environnements hôteliers. Activez l'authentification MAC si vous souhaitez que les invités de retour contournent le portail lors de leurs visites ultérieures au cours de cette fenêtre. Pour Aruba Central sur AOS-8, le flux est essentiellement le même mais accessible via l'assistant WLAN sous Appareils, Configuration, WLANs. Définissez le Niveau de sécurité sur Visiteurs, le Type sur Captive Portal externe, et créez un nouveau profil de captive portal avec l'URL de splash page Purple. Ajoutez vos serveurs RADIUS principal et secondaire, activez l'accounting, et définissez un intervalle d'accounting de cinq minutes. Cet intervalle est important - il garantit que la plateforme d'analyse de Purple reçoit des mises à jour régulières des sessions pour un rapport précis sur le temps de séjour et l'engagement. Sur AOS-10, qui est l'architecture cloud-first, il y a une différence importante : le walled garden n'est plus configuré dans l'onglet de sécurité du WLAN. Au lieu de cela, vous le configurez via les Règles d'accès. Vous créez un rôle de pré-authentification - nommez-le Connexion Invité - et ajoutez des règles d'autorisation pour chaque domaine de la liste blanche du walled garden. Ensuite, vous attribuez ce rôle comme Rôle de pré-authentification sur le SSID. En parlant du walled garden - c'est là que la plupart des déploiements échouent. Le walled garden est la liste des domaines que les invités non authentifiés peuvent atteindre avant d'avoir terminé le parcours du portail. Sans ces entrées, le portail lui-même ne se chargera pas, car l'appareil de l'invité ne pourra pas atteindre le CDN de Purple pour télécharger les éléments de la splash page. Les entrées Purple obligatoires sont : étoile point purple point ai, étoile point cloudfront point net, et étoile point venuewifi point com. Si vous utilisez la connexion sociale - Google, Facebook, Apple, Microsoft - vous devrez ajouter les domaines OAuth pertinents pour chaque fournisseur. Google requiert étoile point google point com, étoile point googleapis point com, et étoile point gstatic point com. Facebook requiert étoile point facebook point com, étoile point fbcdn point net, et connect point facebook point net. Apple Sign-In a besoin de étoile point apple point com et appleid point apple point com. Microsoft Entra ID requiert étoile point microsoft point com et étoile point microsoftonline point com. Une chose importante à souligner : sur Aruba, vous pouvez activer l'Automatic URL Whitelisting dans le profil du Captive Portal. Cette fonctionnalité ajoute dynamiquement à la liste blanche les URL référencées par la page du portail. C'est utile comme solution de repli, mais je recommande de configurer explicitement le walled garden plutôt que de s'appuyer sur la liste blanche automatique en production - c'est plus prévisible et plus facile à auditer. Parlons spécifiquement des paramètres RADIUS. Les attributs clés utilisés par Purple sont : NAS-IP-Address, qui identifie votre AP ou contrôleur ; Called-Station-Id, qui transporte le BSSID et le SSID au format MAC-address:SSID-name - Purple utilise cela pour associer les sessions à des sites et points d'accès spécifiques ; et Calling-Station-Id, qui est l'adresse MAC du client. Du côté de l'accounting, Acct-Session-Id fournit l'identifiant unique de la session, et Acct-Status-Type transporte les événements Start, Interim-Update et Stop. Assurez-vous que votre configuration Aruba envoie bien ces trois types d'événements d'accounting - certains déploiements n'envoient que Start et Stop, ce qui signifie que les analyses de Purple ne reçoivent pas les données de session intermédiaires nécessaires pour calculer précisément le temps de présence. [RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER — environ 2 minutes] Permettez-moi de vous présenter les recommandations pratiques que je donnerais à tout client déployant cette solution. Premièrement : testez toujours avec un appareil de test dédié avant la mise en production. Connectez-vous au SSID invité, ouvrez un navigateur sur une URL HTTP - et non HTTPS - et vérifiez que la redirection se déclenche. Si vous allez directement sur du HTTPS, la redirection ne fonctionnera pas car l'AP ne peut pas intercepter le trafic chiffré. C'est le motif d'appel d'assistance numéro un que nous constatons. Deuxièmement : les règles de pare-feu. Votre VLAN de gestion d'AP ou votre contrôleur a besoin d'un accès UDP sortant vers les IP du serveur RADIUS de Purple sur les ports 1812 et 1813. Si vous avez un pare-feu à inspection d'état (stateful) entre vos AP et internet, assurez-vous qu'il autorise ces flux UDP. Le protocole RADIUS fonctionnant sans connexion, certains pare-feux nécessitent des règles explicites plutôt que de s'appuyer sur l'inspection d'état. Troisièmement : la confiance des certificats. Lorsque vous configurez l'URL de la splash page en HTTPS, l'AP doit faire confiance au certificat présenté par le serveur du portail de Purple. Sur Aruba Central, vous devrez peut-être importer un certificat d'AC approuvé dans les paramètres généraux avant que la redirection du portail ne fonctionne correctement en HTTPS. Purple utilise des certificats provenant d'une AC largement approuvée, mais cela vaut la peine de le vérifier dans votre environnement. Quatrièmement : la segmentation VLAN. Votre SSID invité doit se trouver sur un VLAN dédié et isolé de votre réseau d'entreprise. Il s'agit à la fois d'une exigence de sécurité - la norme PCI-DSS exigeant une segmentation réseau pour les environnements de données de titulaires de cartes - et d'une nécessité pratique pour le fonctionnement du Captive Portal. Le VLAN invité doit avoir un accès internet mais aucune route vers les ressources internes. Cinquièmement : le paramètre WISPr. Je l'ai mentionné plus tôt mais cela mérite d'être répété. Activez le WISPr. Sans cela, les appareils iOS en particulier ne détecteront pas automatiquement le Captive Portal, et les invités feront face à une expérience déroutante où ils sembleront connectés mais n'auront pas d'accès internet. [RAPID-FIRE Q&A - approx. 1 minute] Laissez-moi passer en revue les questions que l'on me pose le plus souvent. Puis-je utiliser Aruba Instant On - le produit pour les petites entreprises - avec Purple ? Oui, avec quelques limitations. Instant On prend en charge les Captive Portals externes, mais l'interface de configuration est plus limitée que celle d'Aruba Central complet. Purple dispose d'un guide d'intégration dédié à Instant On. Est-ce que Purple prend en charge RadSec pour le RADIUS chiffré ? Oui. Purple prend en charge RADIUS sur TLS - RadSec - pour les déploiements où le trafic RADIUS traverse des réseaux non sécurisés. Cela est de plus en plus pertinent pour les déploiements gérés dans le cloud où l'échange RADIUS traverse l'internet public. Que se passe-t-il si le portail Purple est injoignable ? Vous pouvez configurer le paramètre de défaillance du Captive Portal sur « Deny Internet » - qui est le choix sécurisé par défaut - ou sur « Allow Internet », qui fournit un mode d'accès ouvert de secours. Pour la plupart des sites d'entreprise, « Deny Internet » est le bon choix. Puis-je exécuter plusieurs SSIDs avec différents sites Purple sur la même infrastructure Aruba ? Absolument. Chaque SSID obtient son propre profil de Captive Portal pointant vers une URL de site Purple différente. L'attribut RADIUS Called-Station-Id transporte le nom du SSID, que Purple utilise pour acheminer la session vers la configuration de site correcte. [RÉSUMÉ ET PROCHAINES ÉTAPES - approx. 1 minute] Permettez-moi de résumer. Le déploiement de Purple en tant que Captive Portal externe sur une infrastructure Aruba est un parcours d'intégration très classique. Les étapes clés sont : configurer vos serveurs RADIUS avec les identifiants de Purple, créer un profil de Captive Portal externe pointant vers votre URL de splash page Purple avec WISPr activé, créer votre SSID invité avec le type de splash page External RADIUS Server, et configurer votre walled garden avec les domaines principaux de Purple ainsi que tous les domaines de fournisseurs de connexion sociale que vous activez. La différence AOS-10 à retenir est que la configuration du walled garden se déplace vers les Access Rules plutôt que vers l'onglet WLAN Security. D'un point de vue commercial, remplacer le portail local de base d'Aruba par Purple vous apporte une collecte de données conforme au GDPR, des analyses de localisation en temps réel, des rapports démographiques et de l'automatisation marketing - le tout à partir de la même infrastructure WiFi que vous possédez déjà. Pour vos prochaines étapes : récupérez vos identifiants RADIUS de site Purple depuis le tableau de bord Purple, passez en revue la liste de contrôle de configuration dans le guide écrit d'accompagnement, et testez avec un appareil dédié avant de déployer en production. Si vous déployez sur plusieurs sites, la console de gestion multi-sites de Purple vous permet de gérer les configurations de Captive Portal, l'image de marque et les analyses de l'ensemble de votre parc à partir d'une interface unique. Merci pour votre écoute. Le guide écrit complet, les tableaux de configuration et les listes de référence de walled garden sont disponibles sur purple.ai. À la prochaine. [FIN DU SCRIPT]