Passer au contenu principal
Français

Configuration de la redirection de Captive Portal sur les contrôleurs de réseau d'entreprise

Ce guide de référence détaille l'architecture technique et les étapes de configuration spécifiques aux éditeurs requises pour implémenter la redirection de Captive Portal sur les contrôleurs de réseau d'entreprise. Il fournit des conseils pratiques aux équipes informatiques pour configurer les walled gardens, intégrer l'authentification RADIUS et garantir la conformité avec le GDPR et la norme PCI DSS.

📖 6 min de lecture📝 1,397 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans le briefing technique Purple. Je suis votre hôte et, au cours des dix prochaines minutes, nous allons aborder l'un des sujets les plus recherchés et les moins bien documentés du WiFi d'entreprise : la configuration de la redirection vers le Captive Portal sur les contrôleurs réseau. Si vous avez déjà recherché "configurar controlador portal cautivo" pour finalement repartir les mains vides, ce briefing est exactement ce qu'il vous faut. Nous couvrons l'ensemble du sujet : l'architecture technique, les étapes de configuration pour chaque contrôleur, les exigences de conformité et les pièges concrets qui piègent même les équipes réseau chevronnées. Entrons dans le vif du sujet. Un Captive Portal est le mécanisme qui intercepte la première requête HTTP ou HTTPS d'un appareil invité après sa connexion à votre réseau WiFi, et le redirige vers une page de connexion personnalisée (splash page) avant de lui accorder l'accès à Internet. Cette page peut demander une connexion via les réseaux sociaux, la soumission d'un formulaire, une simple acceptation des conditions par clic ou une vérification des identifiants via un serveur RADIUS. La redirection elle-même est gérée au niveau du contrôleur, et non au niveau du point d'accès ou du pare-feu. Le contrôleur intercepte le trafic du client non authentifié, applique une liste de contrôle d'accès de pré-authentification — ce que nous appelons un walled garden — et redirige le navigateur du client vers l'URL de votre portail. Pourquoi cela est-il important sur le plan commercial ? Pour trois raisons. Premièrement, la conformité. En vertu du GDPR, vous devez obtenir un consentement explicite et éclairé avant de collecter les données personnelles des visiteurs. Un Captive Portal correctement configuré est votre mécanisme de recueil du consentement. Sans lui, vous collectez des données sans base légale, ce qui vous expose à des risques réglementaires. Deuxièmement, la sécurité. Un SSID ouvert sans authentification constitue une faille de sécurité. La redirection vers le Captive Portal, combinée à la segmentation VLAN et à un serveur RADIUS, vous offre une traçabilité par session. Vous savez qui s'est connecté, quand et depuis quel appareil. Troisièmement, la business intelligence. Chaque session authentifiée est une donnée propriétaire (first-party). Purple traite 440 millions de connexions par an sur 80 000 sites. Ces données — temps de présence, fréquence des visites, données démographiques — ne sont disponibles que si votre Captive Portal est correctement configuré pour les capturer et les transmettre. Laissez-moi maintenant vous présenter le flux de redirection, étape par étape. Étape 1 : l'appareil d'un invité s'associe à votre SSID invité. Le contrôleur lui attribue une adresse IP via DHCP, mais le place dans un état restreint de pré-authentification. Tout le trafic est bloqué, à l'exception du DNS et des domaines du walled garden que vous avez explicitement autorisés. Étape 2 : l'invité ouvre un navigateur. Sa requête HTTP parvient au contrôleur. Le contrôleur l'intercepte et émet une redirection 302 vers l'URL de votre portail. Il s'agit du mécanisme de redirection central. Étape 3 : le navigateur de l'invité charge votre splash page, hébergée soit sur le contrôleur lui-même, soit, plus fréquemment dans les déploiements d'entreprise, sur une plateforme cloud externe comme Purple. Étape quatre : le visiteur s'authentifie - via un identifiant de réseau social, un formulaire ou des identifiants. Le portail renvoie un signal d'autorisation au contrôleur, généralement via un message RADIUS Access-Accept ou un contournement d'authentification MAC. Étape cinq : le contrôleur déplace le client du VLAN de pré-authentification vers le VLAN de post-authentification, supprime la règle de redirection et accorde l'accès Internet. Ce flux en cinq étapes est le même sur toutes les principales plateformes de contrôleurs. Ce qui diffère, c'est la manière dont vous configurez chaque étape sur Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi et les autres. Passons en revue les principales plateformes. Cisco Meraki. Meraki utilise un portail de connexion personnalisé configuré entièrement via le tableau de bord Meraki - il n'y a pas d'interface en ligne de commande (CLI). Accédez à Wireless (Sans fil), puis à Access Control (Contrôle d'accès), sélectionnez le SSID de vos invités, réglez la page d'accueil sur "Sign-on with my RADIUS server" ou "Click-through", puis saisissez l'URL de votre portail externe dans le champ Custom Splash URL. Le walled garden (liste d'accès autorisé) est configuré dans la section Advanced Splash Settings (Paramètres avancés de la page d'accueil) - vous y ajoutez les adresses IP de votre serveur de portail afin que l'invité puisse accéder au portail de connexion avant de s'authentifier. Les détails du serveur RADIUS se configurent dans la section RADIUS : authentification sur le port 1812, comptabilisation (accounting) sur le port 1813. HPE Aruba. Sur ArubaOS, vous configurez un profil de Captive Portal sous la section AAA, en spécifiant l'URL de connexion, le groupe de serveurs pointant vers votre serveur RADIUS, et l'URL de redirection. Vous appliquez ensuite ce profil à votre SSID via le profil AP virtuel. Le rôle de pré-authentification - ce qu'Aruba appelle le rôle "logon" - contient l'ACL qui autorise le DNS, le DHCP et l'accès à la plage IP du serveur de votre portail. Après l'authentification, le contrôleur attribue le rôle "authenticated", qui permet un accès complet à Internet. Ruckus SmartZone utilise un type de réseau WLAN Hotspot pour les déploiements de Captive Portal. Sous la configuration WLAN, définissez le type de WLAN sur Hotspot, puis configurez l'URL du portail, le serveur RADIUS pour l'authentification et la comptabilisation, ainsi que les entrées du walled garden. L'interface Northbound Portal gère le flux d'authentification MAC entre le portail et le contrôleur. Juniper Mist utilise une approche cloud-native. Sous Network (Réseau), puis WLANs, créez un WLAN invité et définissez le type de portail sur "External Captive Portal". Saisissez l'URL de votre portail et configurez les détails du serveur RADIUS. Mist transmet l'adresse MAC du client, l'adresse MAC du point d'accès (AP) et le nom du SSID en tant que paramètres d'URL au portail. Ubiquiti UniFi. Dans le UniFi Network Controller, accédez à Settings (Paramètres), puis à WiFi, sélectionnez votre réseau invité et, sous Advanced Options (Options avancées), activez la Guest Policy (Politique invité) pour activer le portail hotspot. Définissez le type de portail sur "External" et saisissez l'URL de votre portail. Configurez le serveur RADIUS sous Profiles, puis RADIUS. Le walled garden est l'élément le plus fréquemment mal configuré dans les déploiements de Captive Portal. Si vous vous trompez à cette étape, vos invités verront une erreur de navigateur au lieu de votre portail de connexion. Le walled garden doit autoriser, au minimum : les adresses IP ou le domaine de votre serveur de portail, les adresses IP de votre serveur RADIUS, la résolution DNS sur le port 53, et le DHCP sur les ports 67 et 68. Si votre portail charge des ressources à partir d'un CDN - polices, images, JavaScript - ces domaines CDN doivent également être inclus dans le walled garden. Pour les déploiements Purple, nous fournissons les plages d'adresses IP et les domaines spécifiques à inscrire sur liste blanche lors de l'intégration. Le mode de défaillance le plus courant est un portail qui charge le cadre HTML mais ne parvient pas à afficher les images ou à exécuter le JavaScript parce que les domaines CDN sont absents du walled garden. Deux normes de conformité dominent ici : le GDPR et la norme PCI DSS. Sous le GDPR, votre Captive Portal doit présenter un mécanisme de consentement clair et spécifique avant de collecter des données personnelles. Cela signifie des cases à cocher distinctes et non pré-cochées pour l'accès WiFi et le consentement marketing. Vous ne pouvez pas les regrouper. L'enregistrement du consentement doit être stocké et pouvoir être récupéré à des fins d'audit. La plateforme de Purple gère cela automatiquement, en stockant les enregistrements de consentement pour chaque session authentifiée. Sous la norme PCI DSS, si votre établissement traite des paiements par carte, votre réseau WiFi invité doit être isolé de votre environnement de cartes de paiement. Cela implique un VLAN invité dédié avec des règles de pare-feu empêchant tout routage entre le segment invité et votre réseau POS. La version 4.0 de la norme PCI DSS, devenue obligatoire en mars 2024, exige des tests de segmentation réseau au moins tous les six mois. Laissez-moi vous présenter deux scénarios concrets. Scénario un : un hôtel de 350 chambres équipé de Cisco Meraki. L'hôtel souhaite remplacer un portail d'accès simple par une expérience client personnalisée aux couleurs de la marque, qui capture les adresses e-mail pour son programme de fidélité. La configuration : créez un SSID invité dédié sur un VLAN distinct avec un accès Internet uniquement. Configurez la page d'accueil Meraki pour qu'elle pointe vers l'URL du portail de Purple. Configurez l'authentification RADIUS à l'aide des informations du serveur RADIUS de Purple. Configurez le walled garden avec les plages d'adresses IP de Purple. Dans le tableau de bord Purple, créez une page d'accueil personnalisée avec un formulaire capturant le nom, l'e-mail et le numéro de chambre, avec des cases à cocher de consentement GDPR explicites. Connectez le connecteur CRM de Purple à la plateforme marketing de l'hôtel. Premier Inn a mis en œuvre ce modèle sur l'ensemble de son parc et a constaté des augmentations mesurables des taux de réservation directe provenant des clients acquis via le WiFi. Scénario deux : une chaîne de vente au détail régionale de 40 magasins équipés d'HPE Aruba. Le détaillant a besoin d'une expérience WiFi invité cohérente sur tous les sites, avec des analyses de fréquentation pour comparer les performances des magasins. Déployez Aruba Central pour gérer les 40 sites à partir d'un tableau de bord unique. Configurez un modèle de WLAN invité avec un Captive Portal externe pointant vers Purple. Appliquez le modèle à l'ensemble des sites à l'aide de la fonctionnalité de stratégie de groupe d'Aruba Central. Dans Purple, configurez un modèle de portail unique qui s'applique à tous les sites, avec des tableaux de bord analytiques par site. Le walled garden et la configuration RADIUS sont définis une seule fois dans le modèle et propagés automatiquement. Résultat : l'équipe informatique gère 40 sites à partir d'une seule console. L'équipe marketing obtient des données de fréquentation par magasin, des analyses de temps de séjour et des taux de visites répétées, le tout depuis un seul tableau de bord Purple. Quatre pièges que je vois régulièrement. Un : échecs d'interception HTTPS. Les navigateurs et systèmes d'exploitation mobiles modernes utilisent des sondes HTTPS pour détecter les captive portals. Si votre contrôleur ne peut pas intercepter le trafic HTTPS - ce qui nécessite un certificat valide pour le domaine de redirection - la sonde échoue silencieusement et l'invité ne voit aucune redirection. La solution : configurez l'interface virtuelle de votre contrôleur avec un certificat de confiance, ou utilisez des sondes uniquement HTTP sur votre SSID invité. Deux : fuite DNS. Si votre ACL de pré-authentification autorise un DNS non restreint, les invités peuvent utiliser le tunnel DNS pour contourner entièrement le Captive Portal. Restreignez le DNS uniquement à votre résolveur désigné. Trois : incohérences de l'expiration de session. Si l'expiration de session de votre contrôleur est plus courte que la validité du jeton de session de votre portail, les invités sont redirigés vers le portail en milieu de session. Alignez ces valeurs - généralement 24 heures pour l'hôtellerie et huit heures pour le commerce de détail. Quatre : absence d'accounting. L'accounting RADIUS - les messages Accounting-Start et Accounting-Stop - permet à votre portail de savoir qu'une session est terminée. Sans configuration d'accounting, les enregistrements de session de votre portail seront inexacts et vos analyses ne seront pas fiables. Questions rapides, réponses rapides. Puis-je utiliser un portail externe avec n'importe quel contrôleur ? Oui, à condition que le contrôleur prenne en charge la redirection vers un Captive Portal externe - ce qui est le cas de toutes les plateformes dont nous avons parlé. Ai-je besoin d'un serveur RADIUS pour faire fonctionner un Captive Portal ? Pas toujours. Les portails simples de type clic de connexion peuvent utiliser le contournement d'autorisation MAC sans serveur RADIUS complet. Mais pour les portails basés sur des identifiants ou des connexions sociales, RADIUS est le mécanisme standard. Le Captive Portal fonctionne-t-il avec le WPA3 ? Oui. Le WPA3 gère la couche de chiffrement sans fil. Le Captive Portal gère la couche d'authentification. Ils fonctionnent de manière indépendante et sont entièrement compatibles. Comment Purple s'intègre-t-il à mon contrôleur existant ? Purple agit en tant que serveur de portail externe. Vous pointez l'URL de splash de votre contrôleur vers le point de terminaison du portail de Purple, configurez le walled garden avec les plages IP de Purple, et configurez RADIUS à l'aide des informations de serveur de Purple. L'intégration suit le même processus, que vous utilisiez Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist ou Ubiquiti UniFi. En résumé. La redirection du Captive Portal est configurée au niveau du contrôleur, et non du point d'accès. Les composants clés sont : l'URL de splash pointant vers votre portail, le walled garden autorisant l'accès à votre serveur de portail, RADIUS pour l'authentification et l'accounting, et la segmentation VLAN pour l'isolation du réseau. Les étapes de configuration diffèrent selon le fournisseur, mais l'architecture reste la même. Pour la conformité, votre portail doit implémenter une capture de consentement conforme au GDPR et une segmentation réseau conforme à la norme PCI DSS. Le WPA3 est la norme actuelle pour le chiffrement sans fil et devrait constituer votre spécification de base pour tout nouveau déploiement. Purple s'intègre nativement avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet. Avec 80 000 sites et 440 millions de connexions en 2024, la plateforme est indépendante du matériel par conception - le choix de votre contrôleur ne limite pas votre capacité à capturer des données clients de première main (first-party) ou à exécuter des analyses. Votre prochaine étape : comparez la configuration actuelle de votre contrôleur avec la liste de contrôle du walled garden et de l'accounting RADIUS dans ce guide. Si vous déployez un nouveau réseau WiFi invité, commencez par les étapes de configuration spécifiques au fournisseur pour votre plateforme de contrôleur et connectez Purple comme portail externe. Merci pour votre écoute. C'était le point technique de Purple.

header_image.png

Résumé exécutif

La configuration d'une redirection de Captive Portal sur un contrôleur de réseau d'entreprise est une exigence fondamentale pour fournir un WiFi invité sécurisé et conforme. Lorsqu'il est correctement configuré, le contrôleur intercepte le trafic client non authentifié et émet une redirection HTTP 302 vers un portail externe, permettant l'authentification, le recueil du consentement et la segmentation du réseau. En cas de mauvaise configuration, cela entraîne des échecs de connexion silencieux, des avertissements de sécurité du navigateur et des risques de non-conformité.

Ce guide présente l'architecture technique et les étapes de configuration spécifiques aux fournisseurs nécessaires pour déployer des portails captifs externes sur Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist et Ubiquiti UniFi. Nous détaillons les mécanismes du flux de redirection, les exigences précises pour la configuration du walled garden, et l'intégration de RADIUS pour l'authentification et l'accounting. En suivant ces étapes, vous vous assurez que votre réseau invité répond aux exigences de segmentation PCI DSS, recueille un consentement GDPR explicite et achemine en toute sécurité les données de première partie vers des plateformes comme Purple.

Analyse technique approfondie

Le mécanisme de redirection de Captive Portal fonctionne au niveau du contrôleur réseau. Il repose sur une séquence spécifique de changements d'état du réseau pour intercepter, authentifier et autoriser un appareil client.

architecture_overview.png

Le flux de redirection

  1. Association et DHCP : Un appareil invité s'associe au SSID invité. Le contrôleur attribue une adresse IP via DHCP mais place le client dans un état de pré-authentification restreint (souvent associé à un VLAN ou à un rôle de pré-authentification spécifique).
  2. Application du walled garden : Dans cet état de pré-authentification, tout le trafic sortant est bloqué, à l'exception du DNS (port 53), du DHCP (ports 67 et 68) et du trafic destiné à des adresses IP ou domaines spécifiques définis dans la liste de contrôle d'accès (ACL). Cette ACL est appelée walled garden.
  3. Interception et redirection : Lorsque l'invité ouvre un navigateur et lance une requête HTTP, le contrôleur intercepte la requête. Au lieu d'acheminer le trafic vers Internet, le contrôleur répond avec un code d'état HTTP 302 Found, redirigeant le navigateur vers l'URL de votre Captive Portal externe. Les systèmes d'exploitation modernes utilisent des requêtes HTTPS automatiques (comme le Captive Network Assistant d'Apple) pour détecter cette redirection et déclencher un pseudo-navigateur.
  4. Authentification : l'invité interagit avec la splash page hébergée sur le portail externe (par exemple, Purple). Cela peut impliquer une connexion via un réseau social, la soumission d'un formulaire ou un simple clic. Une fois l'opération terminée, le portail communique avec le contrôleur pour autoriser la session.
  5. Autorisation et comptabilité (Accounting) : le signal d'autorisation est généralement envoyé via un message RADIUS Access-Accept ou via une API spécifique au fournisseur. Le contrôleur reçoit ce signal, fait passer le client à l'état post-authentification (souvent un VLAN différent), supprime la règle de redirection et accorde l'accès à Internet. Le contrôleur envoie ensuite un message RADIUS Accounting-Start pour enregistrer la durée de la session et l'utilisation des données.

Guide d'implémentation

L'architecture fondamentale reste cohérente d'un fournisseur à l'autre, mais la syntaxe de configuration varie considérablement. Vous trouverez ci-dessous les étapes à suivre pour les principales plateformes d'entreprise.

vendor_comparison_chart.png

Cisco Meraki

Cisco Meraki configure les portails captifs entièrement via le tableau de bord Meraki.

  1. Accédez à Wireless > Access Control et sélectionnez votre SSID invité.
  2. Sous Splash page, sélectionnez Sign-on with my RADIUS server (pour un accès basé sur des identifiants) ou Click-through.
  3. Dans le champ Custom Splash URL, saisissez l'URL de votre portail externe fournie par Purple.
  4. Sous RADIUS, saisissez les adresses IP des serveurs RADIUS principal et secondaire pour l'authentification (port 1812) et la comptabilité (port 1813), ainsi que le secret partagé.
  5. Faites défiler jusqu'à Advanced Splash Settings pour configurer le walled garden. Ajoutez les adresses IP ou les domaines de votre serveur de portail et de tous les CDN requis.

HPE Aruba

La configuration d'Aruba implique de définir un profil de Captive Portal et de l'appliquer à un rôle.

  1. Dans ArubaOS, accédez à Configuration > Authentication > L3 Authentication.
  2. Créez un nouveau Captive Portal Authentication Profile. Saisissez l'Login URL pointant vers votre splash page Purple.
  3. Créez un Server Group contenant vos serveurs RADIUS et attribuez-le au profil de Captive Portal.
  4. Accédez à Configuration > Security > Roles. Modifiez le rôle de pré-authentification (souvent nommé logon). Assurez-vous que l'ACL autorise le trafic DHCP, DNS et HTTP/HTTPS vers vos adresses IP de walled garden, et applique le profil de Captive Portal à tout le reste du trafic HTTP.
  5. Attribuez le rôle logon en tant que rôle initial dans votre profil AAA pour le SSID invité.

Ruckus SmartZone

Ruckus utilise un type de WLAN spécifique pour les déploiements de points d'accès.

  1. Accédez à WLANs et créez un nouveau WLAN. Définissez le WLAN Type sur Hotspot (WISPr).
  2. Sous Authentication Options, sélectionnez External RADIUS Server et saisissez les coordonnées de votre serveur pour l'authentification et la comptabilisation.
  3. Sous Hotspot Portal, sélectionnez External et saisissez l'URL de votre portail.
  4. Configurez le Walled Garden en ajoutant les adresses IP ou domaines nécessaires.
  5. Ruckus s'appuie sur son interface Northbound Portal Interface (NPI) pour gérer le flux d'autorisation, ce qui nécessite de configurer les paramètres NPI afin d'autoriser la communication depuis le serveur de votre portail.

Ubiquiti UniFi

UniFi offre une interface simple pour les portails externes.

  1. Dans le contrôleur réseau UniFi, accédez à Settings > WiFi et sélectionnez votre réseau invité.
  2. Sous Advanced Options, activez la Guest Policy.
  3. Accédez à Settings > Guest Control. Sous Portal Type, sélectionnez External Portal Server et saisissez l'URL de votre portail.
  4. Sous Access Control, ajoutez les adresses IP requises à la liste Pre-Authorization Access (le walled garden).
  5. Configurez les détails du serveur RADIUS sous Profiles > RADIUS et appliquez le profil au réseau invité.

Best Practices

1. Configuration du Walled Garden

Le walled garden est le point de défaillance le plus critique dans les déploiements de Captive Portal. Si le walled garden est incomplet, le navigateur de l'invité ne parviendra pas à charger la page de connexion (splash page), ce qui entraînera un écran blanc ou une erreur de délai d'attente.

Vous devez explicitement autoriser l'accès à :

  • Aux adresses IP ou domaines du serveur de portail principal.
  • Aux adresses IP du serveur RADIUS.
  • À tous les réseaux de diffusion de contenu (CDN) utilisés par le portail pour charger des polices, des images ou du JavaScript.
  • Aux domaines des fournisseurs d'identité en cas d'utilisation de la connexion via les réseaux sociaux (par exemple, facebook.com, google.com).

2. Segmentation du réseau pour la norme PCI DSS

Si votre établissement traite des paiements par carte, la conformité PCI DSS exige une isolation stricte du réseau invité par rapport à l'environnement des données des titulaires de cartes. Ne vous fiez pas uniquement à la séparation des SSID. Vous devez configurer un VLAN invité dédié au niveau du contrôleur ou du commutateur, avec des règles de pare-feu qui refusent explicitement le routage entre le VLAN invité et tout réseau interne d'entreprise ou de point de vente (POS).

3. Comptabilisation RADIUS

Configurez toujours la comptabilisation RADIUS. Bien que le contournement de l'autorisation MAC puisse accorder l'accès, la comptabilisation RADIUS (messages Accounting-Start et Accounting-Stop) est requise pour suivre avec précision la durée des sessions et l'utilisation des données. Sans comptabilisation, votre plateforme d'analyse signalera des temps de présence et des nombres d'utilisateurs simultanés incorrects.

Dépannage et atténuation des risques

Échecs d'interception HTTPS

Les systèmes d'exploitation modernes utilisent des sondes HTTPS pour détecter les captive portals. Si le contrôleur intercepte une requête HTTPS mais présente un certificat SSL invalide ou non approuvé pour la redirection, le navigateur affichera un avertissement de sécurité grave (par exemple, "Your connection is not private") et bloquera la redirection. Pour atténuer ce problème, assurez-vous que votre contrôleur est configuré avec un certificat SSL valide et publiquement approuvé pour son interface virtuelle, ou configurez le contrôleur pour qu'il n'intercepte que le trafic HTTP pour la redirection initiale.

Fuite DNS

Si l'ACL de pré-authentification permet un trafic DNS sortant non restreint, les utilisateurs avertis peuvent utiliser le tunnel DNS pour contourner le captive portal et accéder à Internet sans s'authentifier. Atténuez ce risque en limitant le trafic DNS sortant dans le rôle de pré-authentification uniquement à vos résolveurs DNS désignés, bloquant tout autre trafic sur le port 53.

Incohérences de l'expiration de session

Si l'expiration de session configurée sur le contrôleur sans fil est plus courte que la période de validité de session définie dans le portail externe, les invités seront brusquement déconnectés et contraints de se réauthentifier. Assurez-vous que le délai d'inactivité du contrôleur et l'expiration absolue de la session s'alignent sur l'expérience client prévue (par exemple, 24 heures pour les environnements d'hôtellerie, 8 heures pour le commerce de détail).

ROI et impact commercial

Le déploiement d'un captive portal correctement configuré transforme le WiFi invité d'un coût opérationnel en un atout stratégique. En intégrant des contrôleurs d'entreprise à une couche d'intelligence comme Purple, les établissements peuvent obtenir un consentement GDPR explicite et collecter de précieuses données de première partie.

Purple traite 440 millions de connexions par an dans 80 000 établissements. Ces données alimentent directement les plateformes CRM, permettant des campagnes marketing ciblées basées sur des visites physiques réelles. Par exemple, les opérateurs du Retail peuvent mesurer la fréquentation et les taux de visites répétées, tandis que les établissements de l' Hospitality peuvent générer des réservations directes en engageant les clients après leur séjour. Le ROI se mesure par l'augmentation de la valeur à vie du client, l'amélioration de l'efficacité opérationnelle grâce à des analyses de fréquentation précises, et l'atténuation des risques réglementaires grâce à une gestion automatisée de la conformité.

Définitions clés

Captive Portal

Une page web qui intercepte le trafic réseau non authentifié et nécessite une interaction de l'utilisateur (comme l'acceptation des conditions ou la fourniture d'identifiants) avant d'autoriser l'accès à Internet.

Utilisé dans les réseaux d'entreprise pour appliquer des politiques de sécurité, capturer des données de première main et garantir la conformité réglementaire.

Walled Garden

Une liste de contrôle d'accès (ACL) appliquée aux clients non authentifiés, autorisant l'accès uniquement aux adresses IP ou domaines spécifiques requis pour charger le Captive Portal.

Indispensable pour garantir le chargement correct de la page d'accueil ; l'absence de domaines CDN dans le walled garden entraînera un mauvais affichage du portail.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la traçabilité (AAA).

Utilisé par les contrôleurs réseau pour vérifier les identifiants des invités par rapport à une base de données externe et enregistrer les données de session.

VLAN Segmentation

La pratique consistant à diviser un réseau physique en plusieurs réseaux logiques afin d'isoler le trafic.

Obligatoire pour la conformité PCI DSS afin de garantir que le trafic WiFi invité ne puisse pas être routé vers les environnements de cartes de paiement.

HTTP 302 Redirect

Un code d'état de réponse HTTP standard indiquant que la ressource demandée a été temporairement déplacée vers une URL différente.

Le mécanisme utilisé par les contrôleurs de réseau pour intercepter la requête web initiale d'un invité et diriger son navigateur vers la page d'accueil.

IEEE 802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, exigeant que les appareils s'authentifient avant d'accéder au réseau.

Fournit une sécurité de niveau entreprise en garantissant que chaque connexion est authentifiée individuellement, souvent appuyée par un serveur RADIUS.

WPA3-Enterprise

Le dernier protocole de sécurité Wi-Fi, offrant un chiffrement robuste et exigeant une authentification 802.1X.

Recommandé pour les déploiements d'entreprise sécurisés afin de se protéger contre les attaques par dictionnaire hors ligne et de garantir la confidentialité des données.

MAC Authorisation Bypass (MAB)

Une méthode d'octroi d'accès réseau basée sur l'adresse MAC de l'appareil client plutôt que d'exiger des identifiants utilisateur explicites.

Souvent utilisé dans les portails captifs à clic unique où le portail enregistre l'adresse MAC après que l'utilisateur a accepté les conditions d'utilisation.

Exemples concrets

Un hôtel de 350 chambres doit déployer un portail WiFi invité personnalisé qui collecte les adresses e-mail pour son programme de fidélité, tout en garantissant la conformité avec le GDPR et en isolant le trafic des invités du réseau de l'entreprise.

L'équipe informatique déploie des AP Cisco Meraki et configure un SSID invité dédié sur le VLAN 100. Dans le tableau de bord Meraki, elle configure la page d'accueil sur "Connexion avec mon serveur RADIUS" et saisit l'URL du portail de Purple. Elle configure le walled garden pour inclure les plages d'adresses IP et les domaines CDN de Purple. Des règles de pare-feu sont appliquées au VLAN 100, refusant le routage vers le VLAN de l'entreprise afin de garantir la conformité PCI DSS. Sur la plateforme Purple, un portail personnalisé est créé avec un formulaire de capture de données et des cases à cocher explicites pour le consentement GDPR. Le connecteur CRM de Purple est configuré pour synchroniser les e-mails collectés directement avec la plateforme marketing de l'hôtel.

Commentaire de l'examinateur : Cette approche répond correctement aux exigences techniques et commerciales. La segmentation par VLAN garantit la sécurité et la conformité, tandis que l'intégration avec Purple permet de recueillir les consentements nécessaires et de synchroniser le CRM. L'utilisation de RADIUS garantit un suivi précis des sessions.

Une chaîne de vente au détail régionale de 40 magasins a besoin d'une expérience WiFi invité cohérente sur l'ensemble de ses sites, avec une gestion centralisée et des analyses de fréquentation à l'échelle du magasin.

Le détaillant déploie des AP HPE Aruba gérés via Aruba Central. Un modèle WLAN invité unique est créé avec un Captive Portal externe pointant vers Purple. Le rôle de pré-authentification est configuré avec les ACL de walled garden nécessaires. Ce modèle est appliqué aux 40 sites à l'aide de la politique de groupe d'Aruba Central. Dans Purple, un design de portail unifié est déployé, avec des tableaux de bord analytiques configurés pour segmenter les données par magasin.

Commentaire de l'examinateur : L'utilisation de la configuration basée sur les modèles d'Aruba Central élimine les dérives de configuration sur les 40 sites. L'intégration avec Purple permet à l'équipe marketing de comparer les indicateurs de fréquentation et de temps de visite sur l'ensemble du parc à partir d'une interface unique, démontrant ainsi la valeur d'une couche d'intelligence indépendante du matériel informatique.

Questions d'entraînement

Q1. Un site signale que les clients se connectant au WiFi voient un écran blanc au lieu de la page d'accueil personnalisée. Le portail utilise des polices personnalisées hébergées sur Google Fonts. Quelle est l'erreur de configuration la plus probable ?

Conseil : Réfléchissez au trafic qui est autorisé avant qu'un utilisateur ne s'authentifie.

Voir la réponse type

Le walled garden est incomplet. Les domaines CDN de Google Fonts n'ont pas été ajoutés à l'ACL de pré-authentification. Le contrôleur bloque la requête de chargement des polices, ce qui entraîne l'échec du rendu de la page.

Q2. Pour se conformer au PCI DSS, un responsable informatique crée un nouvel SSID nommé "Guest_WiFi" sur le même sous-réseau que le réseau d'entreprise. Est-ce suffisant ?

Conseil : Le PCI DSS exige l'isolement de l'environnement des données de titulaires de carte.

Voir la réponse type

Non. Créer un SSID distinct sur le même sous-réseau ne permet pas d'isoler le réseau. Le réseau invité doit être placé sur un VLAN dédié avec des règles de pare-feu interdisant explicitement le routage vers les réseaux de l'entreprise ou des terminaux de paiement (POS).

Q3. Une chaîne de magasins constate que son tableau de bord analytique indique 1 000 authentifications par jour, mais que la mesure du temps de présence moyen est manquante ou nulle. Quelle étape de configuration a été omise ?

Conseil : Quel protocole est responsable du suivi de la durée des sessions ?

Voir la réponse type

RADIUS Accounting n'a pas été configuré sur le contrôleur. Sans les messages Accounting-Start et Accounting-Stop, la plateforme d'analyse ne peut pas calculer la durée des sessions.

Continuer la lecture de cette série

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Ce guide explique comment contourner le matériel Starlink natif et intégrer un Captive Portal géré dans le cloud à l'aide d'équipements de routage d'entreprise. Vous apprendrez à surmonter la limitation du CGNAT, à appliquer la segmentation VLAN, à gérer les contraintes de bande passante par satellite et à garantir la conformité réglementaire.

Lire le guide →

Bonnes pratiques du Captive Portal : conception pour une conversion élevée et la conformité

Ce guide technique offre aux responsables informatiques, architectes réseau et directeurs d'exploitation de sites un plan complet pour déployer des captive portals équilibrant sécurité réseau et taux de conversion élevé. Il couvre l'ensemble de l'architecture, de la segmentation VLAN et l'authentification RADIUS à la conception de consentements conformes au GDPR et à la sélection des méthodes d'authentification. Issu de l'expérience opérationnelle de Purple sur plus de 80 000 sites et 440 millions de connexions en 2024, chaque recommandation est ancrée dans des données de déploiement réelles.

Lire le guide →

Comment optimiser les Captive Portals pour une sécurité réseau maximale et une conversion utilisateur optimale

Ce guide fournit un plan technique complet pour optimiser les Captive Portals au sein des entreprises, couvrant l'architecture de segmentation réseau, la sélection des méthodes d'authentification, la conception de formulaires de consentement conformes au GDPR et l'optimisation de la conversion. Il s'adresse aux responsables informatiques, architectes réseau et CTO d'hôtels, de chaînes de magasins, de stades et d'organisations du secteur public qui doivent concilier la sécurité réseau et la collecte de données de première partie. Purple gère l'infrastructure de Captive Portals de plus de 80 000 sites avec 440 millions de connexions en 2024, et les cadres présentés ici reflètent cette expérience opérationnelle.

Lire le guide →