Guide d'intégration Fortinet FortiAP et Purple WiFi

Une référence technique définitive pour l'intégration de l'infrastructure Fortinet FortiAP et FortiGate avec Purple WiFi. Ce guide couvre la configuration du Captive Portal externe, la coexistence de l'authentification RADIUS avec FortiAuthenticator, et la conception de politiques de sécurité pour les déploiements d'entreprise dans les secteurs de l'hôtellerie, du commerce de détail et du secteur public.

📖 7 min de lecture📝 1,552 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans ce briefing sur l'architecture de Purple. Aujourd'hui, nous plongeons au cœur d'une intégration essentielle pour les réseaux d'entreprise : le déploiement de Purple WiFi aux côtés de l'infrastructure Fortinet, plus précisément avec les points d'accès FortiAP et les pare-feu FortiGate. Que vous soyez responsable informatique, architecte réseau ou CTO gérant un site — qu'il s'agisse d'une chaîne de magasins, d'un stade ou d'un hôpital — cette session est conçue pour vous fournir le plan d'action concret permettant de faire fonctionner ces deux puissantes plateformes en parfaite synergie.

Posons le contexte. Fortinet est réputé pour sa posture de sécurité robuste. Les appliances de gestion unifiée des menaces FortiGate assurent une inspection approfondie du trafic de couche 7. Cependant, lorsqu'il s'agit de WiFi invité, vous ne recherchez pas seulement la sécurité, vous voulez de la valeur commerciale. Vous souhaitez capturer des données démographiques, comprendre le comportement des visiteurs et générer un retour sur investissement marketing. C'est là que Purple intervient. En intégrant Purple en tant que Captive Portal externe, vous déléguez la gestion complexe de l'identité des invités, du consentement GDPR et des connexions via les réseaux sociaux au cloud RADIUS de Purple, tout en laissant le FortiGate faire ce qu'il fait de mieux : sécuriser le périmètre.

Alors, comment cela fonctionne-t-il concrètement sous le capot ? Passons à l'analyse technique approfondie.

L'architecture repose sur les protocoles RADIUS standard et la redirection HTTP. Lorsqu'un appareil invité s'associe à votre SSID invité ouvert diffusé par le FortiAP, le FortiGate intercepte cette requête web initiale. Au lieu de proposer une page de portail basique stockée localement, le FortiGate redirige le client vers la page d'accueil hébergée sur le cloud de Purple.

Voici maintenant le concept clé : le Walled Garden (jardin suspendu). Durant cette phase de pré-authentification, l'invité n'a pas d'accès à Internet. Cependant, il doit charger les éléments graphiques du portail et peut avoir besoin d'accéder à Facebook ou Google pour s'authentifier. Le Walled Garden est une liste d'autorisation stricte configurée sur le FortiGate qui permet le trafic vers ces domaines spécifiques. Une fois que l'utilisateur s'est authentifié, la plateforme de Purple renvoie un message RADIUS Access-Accept au FortiGate. Le FortiGate bascule alors l'état de la session en mode authentifié et bascule l'utilisateur vers votre politique de pare-feu post-authentification.

Parlons plus en détail de la configuration RADIUS, car c'est ici que la précision est de rigueur. Purple vous fournit deux ensembles d'identifiants RADIUS : un pour l'authentification sur le port 1812, et un pour l'accounting sur le port 1813. Les deux doivent être configurés. Le serveur d'accounting n'est pas facultatif. C'est le mécanisme par lequel le FortiGate transmet les données de session à Purple — durée, bande passante consommée et événements de fin de session. Sans données d'accounting précises, votre tableau de bord analytique Purple affichera des mesures de fréquentation incomplètes ou erronées. Configurez votre intervalle intermédiaire d'accounting sur 120 secondes. Cela offre un excellent équilibre entre visibilité en temps réel et charge réseau.Un scénario très courant implique FortiAuthenticator. De nombreuses entreprises utilisent FortiAuthenticator pour le WiFi de leur personnel — en utilisant 802.1X et PEAP pour authentifier les appareils de l'entreprise par rapport à Active Directory. La question est toujours la suivante : puis-je conserver mon FortiAuthenticator pour le personnel et utiliser Purple pour les invités ?

La réponse est absolument oui, et la règle d'or ici est une ségrégation stricte. Vous maintenez votre SSID personnel pointant vers le FortiAuthenticator. Vous créez un SSID ouvert, complètement distinct, pour les invités, pointant vers le Captive Portal externe de Purple et le RADIUS cloud. Le FortiGate achemine les demandes d'authentification en fonction du SSID. L'identité du personnel reste sur site avec le FortiAuthenticator. L'identité des invités va vers le cloud marketing de Purple. Zéro croisement, sécurité maximale.

Cette architecture présente également un avantage de conformité significatif. Selon les exigences PCI DSS, les réseaux WiFi invités doivent être complètement isolés de tout segment de réseau qui gère les données des titulaires de cartes. En plaçant le SSID invité sur un VLAN dédié et en appliquant des politiques de pare-feu strictes sur le FortiGate pour bloquer toutes les destinations d'espace IP privé RFC 1918, vous répondez proprement à cette exigence.

Passons maintenant aux recommandations de mise en œuvre. Lorsque vous configurez cela, vous avez une décision cruciale à prendre concernant l'attribution des adresses IP : le mode NAT par rapport au mode Bridge.

Si vous déployez une petite succursale de vente au détail avec peut-être cinquante à cent connexions d'invités simultanées, le mode NAT est parfaitement adéquat. Le FortiGate distribue des adresses DHCP aux invités à partir d'un sous-réseau interne dédié et les traduit lorsque le trafic sort du pare-feu. C'est simple et nécessite une infrastructure supplémentaire minimale.

Mais si vous déployez un environnement à haute densité — par exemple, un hôtel de cinq cents chambres, un centre de conférence avec plusieurs événements simultanés ou un stade — vous devez utiliser le mode Bridge. En mode Bridge, le FortiAP dépose le trafic invité directement sur un VLAN dédié, permettant à vos serveurs DHCP d'entreprise principaux de gérer la charge. Cela évite que le FortiGate ne devienne un goulot d'étranglement DHCP lors des pics de connexion. Le mode Bridge garantit également que la plateforme Purple voit la véritable adresse IP du client, ce qui est vital pour des analyses et un dépannage précis.

Parlons de la séquence de configuration étape par étape, car l'ordre est important ici.

Commencez dans le portail Purple. Récupérez vos identifiants de serveur RADIUS — les adresses IP du serveur, les secrets partagés, l'URL du Captive Portal et l'URL de redirection. Ce sont les quatre informations critiques dont vous avez besoin avant de toucher à la configuration Fortinet.

Ensuite, accédez au tableau de bord FortiCloud ou à votre interface de gestion FortiGate. Définissez d'abord vos serveurs RADIUS — authentification sur 1812, comptabilité sur 1813. Créez ensuite votre SSID invité, définissez l'authentification sur Ouvert, activez le Captive Portal externe et saisissez l'URL du portail Purple et l'URL de redirection. Configurez votre Walled Garden. Et enfin, définissez votre politique de pare-feu post-authentification avec vos profils UTM.

Qu'en est-il des pièges à éviter ? Où les déploiements échouent-ils généralement ?

Le problème numéro un, sans aucun doute, est un Walled Garden incomplet. Si un visiteur se connecte et obtient un écran blanc ou un délai d'attente dépassé, cela signifie presque toujours que le FortiGate bloque l'accès aux fichiers CSS de Purple, aux ressources JavaScript ou aux API de connexion sociale avant l'authentification. Vous devez vous assurer que chaque domaine requis est explicitement autorisé dans cette politique de pré-authentification. Purple fournit une liste complète des domaines requis — utilisez-la dans son intégralité.

De plus, n'oubliez pas le DNS. Les clients non authentifiés doivent être autorisés à résoudre les requêtes DNS, sinon la redirection ne fonctionnera tout simplement pas. L'appareil doit résoudre le nom d'hôte du Captive Portal de Purple avant même de pouvoir tenter de charger la page.

Le deuxième piège le plus courant concerne les erreurs de certificat. Assurez-vous que votre FortiGate présente un certificat SSL valide et publiquement approuvé pour l'interface de redirection. Si vous utilisez le certificat auto-signé par défaut, les iPhones modernes et les appareils Android afficheront d'importants avertissements de sécurité, et vos visiteurs abandonneront complètement la connexion. C'est un problème particulièrement aigu dans les environnements hôteliers où l'expérience client est primordiale.

Le troisième piège concerne les erreurs de délai d'attente RADIUS. Si le portail se charge mais que l'authentification échoue systématiquement, vérifiez que les secrets partagés correspondent exactement entre votre configuration FortiGate et le portail Purple. Une différence d'un seul caractère entraînera l'échec silencieux de toutes les tentatives d'authentification. Vérifiez également qu'aucun pare-feu intermédiaire ne bloque les ports UDP 1812 et 1813 entre votre infrastructure Fortinet et les serveurs RADIUS cloud de Purple.

Terminons par une session rapide de questions-réponses basée sur les questions les plus fréquemment posées par nos clients.

Question un : l'utilisation de Purple contourne-t-elle mes politiques de sécurité FortiGate ? Absolument pas. Purple gère l'authentification et la capture d'identité. Une fois authentifié, tout le trafic des visiteurs passe par la politique de post-authentification de votre FortiGate. C'est précisément là que vous appliquez le filtrage web FortiGuard, bloquez le trafic peer-to-peer et limitez la bande passante. Voyez les choses ainsi : la pré-authentification est permissive pour permettre la connexion ; la post-authentification est restrictive pour protéger le réseau.

Question deux : dois-je déployer des serveurs RADIUS locaux ? Non. Purple fournit un service RADIUS-as-a-SaaS. Vous configurez le FortiGate pour qu'il pointe directement vers les adresses IP RADIUS cloud de Purple. Il n'est pas nécessaire de déployer et de maintenir FreeRADIUS, Windows NPS ou toute autre infrastructure RADIUS locale pour le réseau visiteurs.

Question trois : Purple peut-il fonctionner avec FortiWLM ? Oui. L'approche d'intégration est cohérente — configurez l'URL du Captive Portal externe, les identifiants du serveur RADIUS et le walled garden au sein du contrôleur FortiWLM, en suivant la même séquence logique que la configuration du FortiGate.

Quatrième question : qu'en est-il de la conformité GDPR ? Purple recueille un consentement explicite au niveau du portail, en présentant vos conditions générales et vos avis de traitement des données avant l'authentification. Ces données de consentement sont stockées au sein de la plateforme Purple et sont auditables. Le rôle du FortiGate est purement l'application des règles réseau — il n'a pas besoin de gérer directement les données de consentement.

Pour résumer les points clés de la présentation d'aujourd'hui.

Premièrement : ségréguez absolument vos SSID collaborateurs et invités. Les collaborateurs sur FortiAuthenticator avec 802.1X. Les invités sur Purple avec un Captive Portal externe.

Deuxièmement : configurez méticuleusement votre Walled Garden. C'est le point de défaillance le plus courant et l'élément de configuration de pré-authentification le plus important.

Troisièmement : utilisez le mode Bridge pour tout déploiement à haute densité afin d'éviter les goulots d'étranglement DHCP et de garantir une visibilité précise de l'IP du client.

Quatrièmement : configurez à la fois les serveurs d'authentification et de comptabilité RADIUS. La comptabilité n'est pas facultative si vous souhaitez obtenir des analyses significatives.

Cinquièmement : exploitez les fonctionnalités UTM de Fortinet après l'authentification. Le filtrage web, le contrôle des applications et la limitation de la bande passante doivent tous être appliqués dans la politique de pare-feu post-authentification.

En exécutant correctement cette intégration, vous transformez le WiFi invité d'un centre de coûts en un actif conforme, sécurisé et générateur de revenus. La combinaison de la profondeur de sécurité de Fortinet et de l'intelligence marketing de Purple est véritablement puissante pour tout exploitant de site qui souhaite prendre au sérieux son expérience client et sa stratégie de données.

Merci d'avoir écouté ce briefing sur l'architecture Purple. Si vous souhaitez discuter de vos besoins de déploiement spécifiques, visitez purple.ai pour vous entretenir avec l'équipe des solutions.

Points clés à retenir

✓Désaccouplez l'authentification des invités de la sécurité du réseau central en utilisant le RADIUS cloud de Purple — FortiGate applique la politique, Purple gère l'identité.
✓Maintenez une ségrégation absolue des SSID et VLAN entre le personnel (FortiAuthenticator, 802.1X) et les invités (Captive Portal externe de Purple).
✓Un Walled Garden méticuleusement configuré est l'étape unique la plus critique — les listes d'autorisation de domaines de pré-authentification incomplètes causent la majorité des échecs de Captive Portal.
✓Configurez à la fois les serveurs d'authentification RADIUS (Port 1812) et de comptabilité (Port 1813) — les données de comptabilité sont essentielles pour les analyses Purple.
✓Utilisez le mode Bridge pour les déploiements à haute densité afin de décharger le DHCP, d'éviter les goulots d'étranglement du FortiGate et d'améliorer la visibilité des adresses IP des clients.
✓Appliquez les politiques UTM de Fortinet (filtrage web FortiGuard, contrôle des applications, mise en forme du trafic) strictement dans la politique de pare-feu post-authentification.
✓Utilisez un certificat SSL publiquement approuvé sur l'interface de redirection du FortiGate pour éviter les avertissements de certificat destinés aux invités qui augmentent l'abandon du portail.

Résumé exécutif

Pour les équipes informatiques d'entreprise exploitant une infrastructure Fortinet, l'intégration de portails captifs externes pour l'accès des invités tout en maintenant des postures de sécurité strictes est une exigence courante. L'intégration entre les points d'accès Fortinet FortiAP, les appliances de gestion unifiée des menaces (UTM) FortiGate et la plateforme Purple WiFi permet aux organisations de dissocier l'authentification des invités de la sécurité du réseau central. Ce guide fournit aux architectes techniques et aux responsables informatiques le schéma directeur définitif pour déployer Purple en tant que Captive Portal externe au sein d'un environnement Fortinet. En déléguant la gestion de l'identité des invités au RADIUS cloud de Purple, les équipes réseau peuvent exploiter les politiques de sécurité de niveau 7 robustes de Fortinet pour l'inspection du trafic tout en capturant simultanément des données démographiques de première main pour générer de la valeur commerciale. Qu'elle soit déployée sur un parc de points de vente distribués ou dans un stade à haute densité, cette architecture garantit la conformité avec PCI DSS et le GDPR tout en offrant une expérience Guest WiFi fluide.

Analyse technique approfondie

L'intégration architecturale entre Fortinet et Purple repose sur les protocoles RADIUS standard et les mécanismes de redirection HTTP. Lorsqu'un appareil invité s'associe au SSID ouvert désigné diffusé par un FortiAP, le FortiGate intercepte la requête HTTP/HTTPS initiale. Au lieu de proposer un Captive Portal local, le FortiGate est configuré pour rediriger le client vers la page d'accueil hébergée sur le cloud de Purple.

Durant cette phase de pré-authentification, le FortiGate applique un walled garden — une liste d'autorisation stricte d'adresses IP et de domaines qui permet à l'appareil client de charger les ressources du Captive Portal, d'effectuer des connexions via les réseaux sociaux et d'accéder aux services essentiels (tels que le DNS) sans accorder un accès complet à Internet. Une fois que l'utilisateur s'authentifie sur le portail Purple, la plateforme Purple communique en retour avec le FortiGate via des messages RADIUS Access-Accept. Le FortiGate fait ensuite passer l'état de la session du client de non authentifié à authentifié, en appliquant les politiques de pare-feu post-authentification appropriées.

Coexistence RADIUS : Purple et FortiAuthenticator

Un défi d'architecture fréquent dans les environnements Fortinet consiste à gérer l'accès des invités parallèlement à l'authentification du personnel lorsqu'un FortiAuthenticator (FAC) est déjà déployé pour l'identité d'entreprise. L'approche recommandée est une ségrégation absolue des SSID. Les appareils du personnel se connectent à un SSID sécurisé utilisant la norme IEEE 802.1X — généralement PEAP ou EAP-TLS — authentifié directement auprès du FortiAuthenticator. À l'inverse, les appareils des invités se connectent à un SSID ouvert configuré pour une redirection vers un Captive Portal externe, s'authentifiant auprès de l'infrastructure RADIUS cloud de Purple.

Cette séparation garantit que les données d'identité des invités — cruciales pour le WiFi Analytics — sont entièrement gérées au sein de la plateforme Purple, tandis que les identifiants Active Directory de l'entreprise restent traités en toute sécurité par le FortiAuthenticator sur site. Le FortiGate gère le routage et l'application des politiques pour les deux flux de trafic de manière indépendante, garantissant un croisement nul entre le VLAN invité et le VLAN d'entreprise. Cette architecture répond également aux exigences PCI DSS en matière de segmentation du réseau, car le trafic invité est isolé physiquement et logiquement de toute infrastructure de traitement des paiements.

Guide d'implémentation

Le déploiement de l'intégration FortiAP Purple nécessite une configuration coordonnée à la fois sur le portail Purple et sur l'infrastructure Fortinet. Les étapes suivantes décrivent le chemin critique pour un déploiement réussi à l'aide de la gestion FortiCloud AP.

Étape 1 : Configuration du réseau et de RADIUS

Commencez par définir le réseau dans le tableau de bord FortiCloud. Naviguez vers Configure > My RADIUS Server et définissez à la fois le serveur d'authentification (Port 1812) et le serveur de comptabilité (Port 1813) à l'aide des identifiants fournis dans le portail Purple. Les deux serveurs doivent être configurés — la comptabilité n'est pas facultative. Purple s'appuie sur les données de comptabilité RADIUS pour alimenter le tableau de bord WiFi Analytics avec des mesures de durée de session, de consommation de bande passante et de fréquence des visiteurs. Définissez l'intervalle intermédiaire de comptabilité sur 120 secondes pour une visibilité en temps réel.

Étape 2 : Définition du SSID et du Captive Portal

Créez un nouveau SSID dédié à l'accès invité. Définissez la méthode d'authentification sur Open et activez la fonctionnalité Captive Portal, en sélectionnant l'option de portail externe ou personnalisé. Vous devez saisir l'URL d'accès unique et l'URL de redirection fournies par l'écran de configuration du portail Purple.

La configuration du Walled Garden est l'étape la plus sensible de l'ensemble du déploiement. Vous devez saisir la liste complète des domaines requis par Purple pour vous assurer que les fournisseurs de connexion sociale (Facebook, Google, X) et les ressources essentielles du portail se chargent correctement avant l'authentification. Si le walled garden n'est pas configuré correctement, le flux d'authentification sera interrompu, car l'appareil client ne pourra pas atteindre les ressources externes nécessaires. Assurez-vous également que le trafic DNS (port UDP 53) est explicitement autorisé dans la politique de pré-authentification.

Étape 3 : Attribution des adresses IP — Mode NAT vs Mode Bridge

Lors de la définition du SSID, vous devez choisir entre le mode NAT et le mode Bridge pour l'attribution des adresses IP.

En mode NAT, le FortiGate fournit des adresses DHCP aux appareils invités à partir d'un sous-réseau interne dédié, traduisant ces adresses lorsque le trafic sort du pare-feu. Cela convient aux déploiements plus simples ou aux petits environnements de succursales de Retail où le FortiGate gère l'ensemble du sous-réseau invité.

En mode Bridge, le FortiAP ponte directement le trafic invité sur un VLAN spécifique, permettant à un serveur DHCP externe d'attribuer les adresses IP. Le mode Bridge est fortement recommandé pour les environnements à haute densité tels que les établissements du secteur Hospitality ou les hubs de Transport , car il offre une plus grande flexibilité pour la gestion des adresses IP, évite les goulots d'étranglement DHCP sur le FortiGate et permet à la plateforme Purple de voir la véritable adresse IP du client pour des analyses et un dépannage plus précis.

Étape 4 : Politique de pare-feu post-authentification

Une fois l'authentification terminée, le FortiGate doit appliquer une politique de pare-feu post-authentification dédiée au VLAN invité. Cette politique doit faire référence aux profils FortiGuard Web Filtering et Application Control pour appliquer des restrictions de contenu et bloquer le trafic peer-to-peer. Appliquez un profil Traffic Shaper pour imposer des limites de bande passante, empêchant ainsi un seul invité de saturer la liaison montante du site. Assurez-vous que la politique bloque explicitement toutes les destinations de l'espace d'adressage IP privé RFC 1918 afin d'empêcher les invités de sonder les ressources du réseau interne.

Bonnes pratiques

Lors de la conception de cette intégration, respectez les recommandations standard de l'industrie suivantes pour garantir la stabilité, la sécurité et la conformité.

La ségrégation des VLAN est obligatoire : Ne déployez jamais de WiFi invité sur le même VLAN que les actifs de l'entreprise ou les systèmes de point de vente. Un marquage VLAN strict doit être appliqué au niveau du port du commutateur pour maintenir la conformité PCI DSS. Le FortiGate doit appliquer des politiques de pare-feu agressives au VLAN invité, bloquant toutes les destinations de l'espace d'adressage IP privé RFC 1918 pour empêcher tout mouvement latéral.

Optimiser les temporisateurs de session : Configurez de manière appropriée la durée du bail DHCP et les intervalles intermédiaires de comptabilité RADIUS. Une durée de bail DHCP de 3600 secondes combinée à un intervalle intermédiaire de comptabilité de 120 secondes offre un équilibre optimal entre la conservation des adresses IP et des rapports d'analyse précis en temps réel dans le tableau de bord Purple.Tirez parti des fonctionnalités UTM de Fortinet après l'authentification : Le principal avantage de cette intégration est la possibilité d'appliquer les fonctionnalités de sécurité avancées de Fortinet au trafic des invités après leur authentification. Configurez la politique de pare-feu post-authentification pour utiliser le filtrage web FortiGuard et le contrôle des applications. Cela limite le risque que les invités utilisent la bande passante de l'établissement pour des activités malveillantes, du téléchargement de torrents ou l'accès à des contenus inappropriés, protégeant ainsi la réputation de l'IP publique de l'établissement et son contrat de service Internet.

Utilisez des certificats publics : Assurez-vous que le FortiGate présente un certificat SSL/TLS valide et publiquement approuvé sur l'interface de redirection. Les certificats auto-signés déclenchent des avertissements de sécurité sur les appareils iOS et Android récents, ce qui augmente considérablement le taux d'abandon des invités sur le portail.

Dépannage et atténuation des risques

Même avec une configuration méticuleuse, les déploiements peuvent rencontrer des difficultés. Comprendre les modes de défaillance courants permet d'accélérer considérablement la résolution.

Échec du chargement du Captive Portal : Si un invité se connecte mais que la page de splash n'apparaît pas, le coupable le plus fréquent est un walled garden incomplet. Vérifiez que tous les domaines requis pour Purple et les fournisseurs de connexion sociale configurés sont explicitement autorisés dans la politique de pré-authentification. Assurez-vous que la résolution DNS fonctionne correctement pour les clients non authentifiés ; si le client ne peut pas résoudre l'URL du portail Purple, la redirection échouera complètement.

Timeouts RADIUS : Si le portail se charge mais que l'authentification échoue systématiquement, examinez le chemin de communication RADIUS. Vérifiez que l'adresse IP externe du FortiGate est correctement enregistrée dans la configuration du routeur du portail Purple. Assurez-vous que les secrets partagés correspondent exactement — une simple différence de caractère entraînera des échecs d'authentification silencieux — et qu'aucun pare-feu intermédiaire ne bloque les ports UDP 1812 et 1813 entre l'infrastructure Fortinet et les serveurs RADIUS cloud de Purple.

Erreurs de certificat : Les systèmes d'exploitation mobiles modernes sont extrêmement sensibles aux anomalies de certificat SSL/TLS lors de l'interception par le portail captif. Assurez-vous que le FortiGate présente un certificat valide et publiquement approuvé pour l'interface de redirection, plutôt qu'un certificat par défaut auto-signé. Cela évite les avertissements de sécurité alarmants qui dissuadent les invités de finaliser le processus d'authentification.

Écarts dans le suivi des sessions : Si le tableau de bord analytique de Purple affiche des données de session incomplètes ou des mesures de bande passante manquantes, vérifiez que le serveur de comptabilité RADIUS (Port 1813) est correctement configuré et que l'intervalle intermédiaire de comptabilité est défini. Les données de comptabilité sont envoyées séparément de l'authentification et nécessitent leur propre définition de serveur.

ROI et impact commercial

L'intégration de Fortinet et de Purple transforme un centre de coûts standard — le WiFi invité — en un actif commercial mesurable. En utilisant le Captive Portal de Purple, les établissements capturent des données démographiques et des coordonnées vérifiées, permettant des campagnes marketing ciblées, la croissance des programmes de fidélité et le réengagement après visite. Pour les établissements opérant dans les secteurs du Commerce de détail ou de l' Hôtellerie , ces données de première main sont de plus en plus précieuses alors que la suppression des cookies tiers limite les canaux de marketing digital traditionnels.

Pour les opérations informatiques, déléguer l'authentification des invités au RADIUS cloud de Purple réduit considérablement la charge administrative associée à la gestion des bases de données d'utilisateurs locaux, à l'impression de coupons physiques ou à la maintenance d'infrastructures RADIUS sur site. L'association de l'intégration fluide de Purple et de l'inspection robuste du trafic de Fortinet garantit que l'établissement offre une expérience Internet sécurisée et performante, tout en générant simultanément des informations commerciales exploitables grâce aux WiFi Analytics . Cette architecture est hautement évolutive, prenant en charge aussi bien un simple hôtel-boutique qu'un campus d'entreprise distribué, offrant un ROI constant grâce à l'activation marketing et à l'efficacité opérationnelle.

Définitions clés

External Captive Portal

Une configuration dans laquelle le matériel réseau (FortiGate/FortiAP) redirige le trafic des utilisateurs non authentifiés vers une page d'accueil hébergée sur un serveur cloud tiers (Purple), plutôt que de diffuser une page stockée localement sur l'équipement.

Les équipes informatiques l'utilisent pour déléguer la conception du portail, la maintenance de l'API de connexion sociale et la collecte du consentement GDPR à une plateforme spécialisée, réduisant ainsi la charge opérationnelle de l'équipe réseau.

Walled Garden

Une liste d'autorisation explicite d'adresses IP, de domaines et de sous-réseaux auxquels un appareil client est autorisé à accéder avant de s'authentifier avec succès sur le réseau.

Crucial pour permettre aux appareils de charger les éléments graphiques du Captive Portal, de traiter les connexions via les réseaux sociaux et de résoudre les requêtes DNS avant d'avoir un accès complet à Internet. C'est la cause la plus fréquente d'échec du Captive Portal en cas de mauvaise configuration.

RADIUS Accounting

Le mécanisme de protocole utilisant le port UDP 1813 qui suit la durée de la session d'un utilisateur, sa consommation de bande passante et ses volumes de transfert de données, puis transmet ces données au serveur RADIUS.

Purple s'appuie sur des données de comptabilité précises provenant du matériel Fortinet pour alimenter les tableaux de bord analytiques et appliquer des limites de temps ou de données sur les sessions invités. Doit être configuré séparément de l'authentification.

FortiAuthenticator (FAC)

L'équipement dédié à la gestion des identités et des accès de Fortinet, utilisé pour l'authentification réseau 802.1X du personnel interne, l'authentification unique (SSO) et la gestion des certificats.

Les responsables informatiques doivent fréquemment s'assurer que le déploiement de Purple pour les invités ne perturbe pas l'infrastructure FAC existante utilisée par les employés de l'entreprise. La réponse réside toujours dans la ségrégation des SSID.

Bridge Mode SSID

Une configuration sans fil dans laquelle le point d'accès agit comme un pont transparent de couche 2, transmettant le trafic client directement vers un VLAN spécifique sur le réseau câblé plutôt que d'effectuer un NAT.

Privilégié dans les déploiements d'entreprise car il permet aux serveurs DHCP centraux existants de gérer les adresses IP, évite les goulots d'étranglement DHCP sur le FortiGate et expose les véritables adresses IP des clients à la plateforme d'analyse Purple.

Post-Authentication Policy

Les règles de pare-feu et les profils de gestion unifiée des menaces (UTM) appliqués au trafic d'un utilisateur uniquement après que celui-ci s'est authentifié avec succès via le Captive Portal.

C'est ici que les architectes réseau appliquent le filtrage web, le contrôle des applications et la limitation de la bande passante pour protéger le réseau du site contre les activités malveillantes des invités. Purple gère l'identité ; FortiGate gère l'application des règles.

IEEE 802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, fournissant un cadre pour l'authentification des appareils souhaitant se connecter à un LAN ou un WLAN à l'aide de méthodes EAP telles que PEAP ou EAP-TLS.

Utilisé pour l'accès sécurisé du personnel via FortiAuthenticator, distinct de l'authentification ouverte basée sur un portail utilisée pour les invités via Purple. Les deux méthodes d'authentification coexistent sur des SSID distincts.

RADIUS-as-a-Service

Une infrastructure RADIUS hébergée dans le cloud fournie par Purple, éliminant le besoin pour les sites de déployer et de maintenir des serveurs RADIUS locaux tels que FreeRADIUS ou Windows NPS.

Réduit la charge d'infrastructure pour les équipes informatiques tout en garantissant une haute disponibilité et une intégration transparente avec la plateforme de Captive Portal. Particulièrement précieux pour les déploiements distribués dans le commerce de détail ou l'hôtellerie.

FortiGuard

Le service d'abonnement de filtrage de contenu et de veille sur les menaces basé sur le cloud de Fortinet, fournissant un filtrage web en temps réel, un contrôle des applications et des signatures de prévention des intrusions aux équipements FortiGate.

Appliqué via des politiques de pare-feu post-authentification pour inspecter et contrôler le trafic Internet des invités après que Purple a authentifié l'utilisateur, protégeant ainsi le réseau du site et la réputation de son adresse IP.

Exemples concrets

Un hôtel de 200 chambres utilise actuellement un FortiGate 100F et des FortiAPs. Ils utilisent FortiAuthenticator pour l'authentification 802.1X du personnel. Ils souhaitent implémenter Purple WiFi pour les clients afin de collecter des données marketing, mais le directeur informatique craint que le portail client n'interfère avec le flux d'authentification existant du personnel.

Déployez une ségrégation absolue des SSID. Maintenez le SSID Staff_WiFi existant configuré pour le WPA2-Enterprise, pointant vers le serveur RADIUS FortiAuthenticator sur le port 1812. Créez un nouveau SSID Guest_WiFi distinct, configuré comme un réseau ouvert avec Captive Portal externe activé. Configurez l'URL du Captive Portal pour qu'elle pointe vers la splash page de Purple, et configurez les paramètres RADIUS pour ce SSID spécifique afin qu'ils pointent vers les serveurs RADIUS cloud de Purple (port 1812 pour l'authentification, port 1813 pour l'accounting). Associez le SSID invité à un VLAN isolé avec une politique de pare-feu dédiée. Le FortiGate achemine les demandes d'authentification en fonction du SSID d'origine, garantissant ainsi une interférence nulle entre les deux systèmes d'authentification.

Commentaire de l'examinateur : Cette approche exploite la capacité du FortiGate à définir des paramètres d'authentification par SSID. Elle résout élégamment l'exigence de coexistence sans nécessiter de proxy RADIUS complexe ou de règles de transfert conditionnel sur le FortiAuthenticator. L'élément clé est que le FortiGate agit comme le point d'application de la politique de trafic pour les deux SSIDs, tandis que la vérification d'identité est déléguée à la plateforme appropriée pour chaque type d'utilisateur.

Une chaîne de magasins déploie des FortiCloud APs sur 50 sites. Ils souhaitent utiliser Purple WiFi pour l'analyse des données clients. Lors des tests sur le premier site, le client se connecte au WiFi, mais son appareil affiche une page blanche ou une erreur de délai d'attente de connexion au lieu de la splash page de Purple.

L'équipe informatique doit auditer et mettre à jour la configuration du Walled Garden dans les paramètres SSID du FortiCloud AP. Le FortiAP bloque actuellement les requêtes HTTP/HTTPS du client vers les ressources du portail Purple avant l'authentification. L'équipe doit saisir la liste complète des domaines requis par Purple — y compris les points de terminaison CDN et les domaines des fournisseurs de connexion sociale — dans la liste d'autorisation du Walled Garden. Ils doivent également vérifier que la politique de pré-authentification autorise explicitement le trafic DNS sur le port UDP 53, afin que l'appareil client puisse résoudre le nom d'hôte du portail. Une fois corrigée sur le premier site, cette configuration doit être modélisée et appliquée de manière cohérente sur les 50 sites.

Commentaire de l'examinateur : Les mauvaises configurations du Walled Garden sont la cause la plus fréquente d'échec des portails captifs chez tous les fournisseurs de matériel. La solution identifie correctement que le trafic de pré-authentification doit être explicitement autorisé. Si l'appareil ne peut pas atteindre le CSS, le JavaScript ou les APIs de connexion sociale du portail, le flux d'authentification ne peut pas démarrer. La modélisation du correctif sur l'ensemble des sites évite que le même problème ne se reproduise à grande échelle.

Questions d'entraînement

Q1. Votre déploiement exige que les invités s'authentifient via une page de splash Purple. Vous avez configuré l'SSID, les serveurs RADIUS et l'URL de redirection. Cependant, lors de la connexion, les appareils des invités signalent immédiatement "Pas de connexion Internet" et le portail ne s'affiche pas automatiquement. Quelle est l'omission de configuration la plus probable ?

Conseil : Considérez l'accès réseau dont un appareil a besoin avant de s'être entièrement authentifié sur le réseau.

Voir la réponse type

Le Walled Garden (liste d'autorisation de pré-authentification) est probablement incomplet ou totalement manquant. L'appareil a besoin d'une autorisation explicite pour atteindre les domaines du portail de Purple, les API de connexion sociale (Facebook, Google) et effectuer la résolution DNS avant que le FortiGate n'accorde un accès complet. Sans cela, l'assistant de Captive Portal de l'appareil ne peut pas atteindre l'URL cible pour déclencher la fenêtre contextuelle. De plus, vérifiez que le trafic DNS sur le port UDP 53 est autorisé dans la politique de pré-authentification.

Q2. Un déploiement dans un stade prévoit 15 000 connexions d'invités simultanées lors des événements. La conception actuelle propose d'utiliser le FortiGate en mode NAT pour fournir le DHCP à l'SSID invité à partir d'un seul sous-réseau /20. Pourquoi cette décision architecturale pourrait-elle créer des problèmes opérationnels, et quelle est l'alternative recommandée ?

Conseil : Considérez la surcharge de traitement sur le pare-feu FortiGate et les implications de la rotation des baux DHCP à grande échelle.

Voir la réponse type

L'utilisation du mode NAT fait peser l'intégralité de la charge de traitement DHCP sur le FortiGate, qui peut éprouver des difficultés face à la rotation rapide des baux de 15 000 appareils transitoires se connectant et se déconnectant tout au long d'un événement. Un unique sous-réseau /20 ne fournit que 4 094 adresses utilisables, ce qui peut s'avérer insuffisant pour les pics de connexions simultanées. De plus, le mode NAT masque la véritable IP du client pour la plateforme Purple, limitant ainsi la profondeur des analyses. L'approche recommandée est le mode Bridge, qui redirige le trafic invité vers un VLAN dédié géré par une infrastructure DHCP d'entreprise externe robuste avec des pools d'adresses dimensionnés de manière appropriée.

Q3. Le CISO exige que le trafic WiFi invité ne consomme pas plus de 20 % de la bande passante internet totale du site, et que les invités ne puissent pas accéder aux réseaux de partage de fichiers en peer-to-peer. Où, dans l'architecture Fortinet-Purple, cette politique est-elle appliquée, et quelles fonctionnalités Fortinet spécifiques sont requises ?

Conseil : Déterminez quel composant gère l'inspection du trafic et l'application des politiques après que l'identité de l'utilisateur a été vérifiée par Purple.

Voir la réponse type

Cette politique est appliquée sur l'appliance FortiGate UTM via la politique de pare-feu post-authentification appliquée au VLAN invité. Alors que Purple gère l'authentification et la capture d'identité, le FortiGate reste responsable de l'inspection et de l'application du trafic de couche 7. L'équipe réseau doit configurer un profil FortiGuard Application Control pour bloquer les catégories P2P (BitTorrent, eDonkey, etc.) et appliquer un profil Traffic Shaper à la politique invité pour imposer la limite de 20 % de bande passante. Les deux profils doivent être référencés dans la politique de pare-feu post-authentification, et non dans la politique de walled garden de pré-authentification.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.