Intégration d'Alta Labs avec Purple WiFi : Configuration et paramétrage du Captive Portal

Ce guide de référence technique couvre l'intégration de bout en bout des points d'accès Alta Labs AP6 et AP6 Pro avec le Captive Portal hébergé dans le cloud de Purple. Il détaille la configuration de la redirection externe, l'authentification RADIUS, les exigences de walled garden et la segmentation multi-tenant à l'aide des clés pré-partagées privées (PPSK) AltaPass. Les exploitants de sites et les équipes informatiques disposeront d'un guide de déploiement reproductible pour les environnements de l'hôtellerie, du commerce de détail et des bureaux intelligents.

📖 8 min de lecture📝 1,844 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast

PODCAST SCRIPT: Alta Labs Integration with Purple WiFi: Setup and Captive Portal Configuration
Purple WiFi Intelligence Platform - Technical Briefing Series
Duration: Approximately 10 minutes
Voice: UK English, senior consultant tone - confident, conversational, authoritative

---

[INTRO - 1 MINUTE]

Welcome to the Purple Technical Briefing Series. I'm your host, and today we are breaking down the integration between Alta Labs access points and the Purple WiFi intelligence platform.

If you are an IT manager, network architect, or venue operations director looking to deploy a robust, scalable guest WiFi solution, this briefing is for you. We are going to cover the specific setup for the Alta Labs AP6 and AP6 Pro, how to configure the external captive portal redirection, and the critical walled garden settings required to make social logins actually work in the real world. We will also dive into AltaPass - Alta Labs' implementation of Private Pre-Shared Keys, or PPSK - and how you can use it to segment multi-tenant environments without destroying your RF performance with SSID bloat.

Let's get into it.

---

[TECHNICAL DEEP-DIVE - 5 MINUTES]

The integration between Alta Labs and Purple relies on two fundamental networking concepts: HTTP redirection for the captive portal, and RADIUS for authentication and accounting.

When a guest walks into your venue - say, a retail store or a hotel lobby - and connects to your open or WPA3-OWE guest network, the Alta Labs AP acts as the gatekeeper. It intercepts the client's initial HTTP requests and redirects them to your branded Purple splash page.

To configure this in the Alta Labs Cloud Management platform, you navigate to your WiFi settings, select your guest SSID, and under the Advanced Settings, set the network type to Guest. This is crucial because it automatically applies client isolation, preventing devices from communicating laterally across the network. Next, under the Hotspot section, you select External and drop in the Purple redirect URL provided in your venue settings, along with your Authorisation Secret.

But here is where most deployments hit a snag: the walled garden.

The walled garden is the list of domains and IP addresses that a device is allowed to access before it has authenticated. If you want guests to log in using Google, Facebook, or Apple, their devices need to reach those OAuth servers while they are still in the pre-authenticated state.

You must explicitly whitelist the Purple infrastructure domains - like region1.purpleportal.net and cloudfront.net. Then, you need to add the OS captive portal probes: captive.apple.com for iOS, and connectivitycheck.gstatic.com for Android. If you block these, the phone doesn't know it's behind a captive portal, and the splash page never pops up.

Finally, you add the social login domains. For Google, that's accounts.google.com, oauth2.googleapis.com, and gstatic.com. For Facebook, it's facebook.com, graph.facebook.com, and the fbcdn.net domains. A static IP whitelist will not work here because these providers use dynamic content delivery networks. You must use domain names and ensure your controller performs dynamic DNS resolution.

Once the user completes the login on the Purple splash page, Purple's RADIUS server sends an Access-Accept message back to the Alta Labs AP. The AP then removes the walled garden restriction and grants the device full internet access. It's a clean, secure flow that captures first-party data while maintaining network integrity.

Now, let's talk about multi-tenant segmentation.

In environments like smart offices, student accommodation, or multi-dwelling units, you often need to provide secure, isolated networks for different groups. Historically, IT teams would broadcast a separate SSID for every tenant. That is a terrible practice. It causes massive management overhead and destroys your wireless performance due to beacon frame overhead.

Alta Labs solves this with AltaPass, their version of Private Pre-Shared Keys. With AltaPass, you broadcast one single SSID - let's call it BuildingWiFi. But, you generate unique passwords for different users or devices.

When Tenant A enters their specific password, the AP dynamically assigns them to VLAN 101 with a 100 Megabit bandwidth limit. When the management team enters their password on the same SSID, they are dropped onto VLAN 200 with unlimited bandwidth. You can even create a password for IoT devices, like smart thermostats, that assigns them to an isolated VLAN and bypasses the captive portal entirely.

One SSID. Unlimited passwords. Complete isolation. This is Identity-Based Networking at the edge, and it is a genuinely elegant solution to a problem that has plagued multi-tenant deployments for years.

Let me give you a concrete example of how this works in practice. Consider a 72-unit apartment complex - a real-world deployment type that Alta Labs has been used for extensively. Instead of broadcasting 72 separate SSIDs, the network administrator creates a single SSID and generates a unique password for each unit. Each password maps to a dedicated VLAN and subnet. Residents on the basic tier get 100 Megabits. Residents who have paid for the premium tier get 300 Megabits. The building management team gets unrestricted access. The building automation system - door locks, HVAC, lifts - gets its own isolated VLAN with deep packet inspection enabled. All from one SSID. The RF environment is cleaner, performance is higher, and management is dramatically simpler.

Now, let's move on to the 802.1X configuration for secure staff WiFi.

For your staff network, you should not be using a pre-shared key at all. You should be using WPA2 or WPA3 Enterprise with 802.1X authentication. In the Alta Labs platform, you configure this by selecting your staff SSID, setting the security mode to WPA2-Enterprise or WPA3-Enterprise, and pointing the AP to your RADIUS server.

If you are integrating with Purple's SecurePass product, Purple acts as the RADIUS intermediary, connecting to your identity provider - whether that is Microsoft Entra ID, Okta, or Google Workspace - and returning the appropriate VLAN assignment in the Access-Accept message. The Alta Labs AP reads the Tunnel-Private-Group-Id attribute from the RADIUS response and places the device on the correct VLAN automatically.

One important note on dynamic VLAN assignment with Alta Labs: when configuring RADIUS-assigned VLANs, set the default VLAN on the SSID to VLAN 1 or leave it untagged. There is a known behaviour where if the default VLAN is set to a specific value, the AP may override the RADIUS-assigned VLAN with the configured default. Setting the default to VLAN 1 ensures the RADIUS assignment takes precedence.

---

[IMPLEMENTATION RECOMMENDATIONS AND PITFALLS - 2 MINUTES]

When you are rolling this out, there are a few key recommendations I want to highlight.

First, always test your captive portal flow with a fresh device. Do not use your own phone if you have already connected to the network during testing. Your device remembers the MAC address authorisation or has cached DNS entries, which will mask walled garden failures. Grab a tablet that has never seen the network, connect it, and verify that the OS captive portal assistant launches automatically.

Second, watch out for over-whitelisting. I see engineers get frustrated with social login errors and just whitelist entire wildcard domains or massive IP blocks. This creates a security vulnerability where savvy users can bypass your captive portal entirely. Stick to the specific domains required for the OAuth flow.

Third, when deploying AltaPass PPSK with dynamic VLANs, ensure your entire switching infrastructure is configured correctly. The switch ports connecting to your Alta Labs APs must be configured as trunks, allowing all the tagged VLANs to pass through to the gateway. If the AP tags the traffic for VLAN 101, but the switch port is set to access mode on VLAN 1, the traffic drops, and the client gets no IP address.

Fourth, implement a quarterly review of your walled garden configuration. OAuth providers and content delivery networks change their domain structures. Apple updated its Sign In domains twice in 2023. A walled garden that was correct at deployment will drift out of alignment without active maintenance.

---

[RAPID-FIRE Q&A - 1 MINUTE]

Let's run through a couple of quick questions we hear from the field.

Question one: Can I use WPA3 with the Purple captive portal on Alta Labs hardware?

Yes. You should use WPA3-OWE, which stands for Opportunistic Wireless Encryption. This encrypts the data over the air, protecting guest privacy, while still functioning as an open network that triggers the captive portal redirect. It is the right choice for any new guest WiFi deployment in 2026.

Question two: What ports do I need to open on my firewall for the RADIUS traffic?

Purple's RADIUS servers communicate over UDP port 1812 for authentication and UDP port 1813 for accounting. Ensure your edge firewall allows outbound traffic on these ports from the Alta Labs APs to the Purple infrastructure.

Question three: Can I use AltaPass PPSK alongside the Purple captive portal on the same SSID?

Yes, and this is actually a very useful configuration. You can create an AltaPass password that bypasses the captive portal for known devices - like your point-of-sale terminals or digital signage - while standard connections to the same SSID still go through the Purple splash page. This gives you a single, clean SSID that handles both authenticated devices and guest users.

---

[SUMMARY AND NEXT STEPS - 1 MINUTE]

To wrap up: Integrating Alta Labs with Purple WiFi gives you a secure, scalable platform for capturing first-party data and delivering a branded guest experience.

Remember the three pillars of a successful deployment. First, configure the external hotspot redirect and RADIUS settings accurately in the Alta Labs Cloud Management platform. Second, meticulously define your walled garden domains to ensure OS probes and social logins function correctly. And third, leverage AltaPass PPSK to implement Identity-Based Networking, segmenting your traffic without polluting your airspace with unnecessary SSIDs.

Purple operates across 80,000 live venues and has processed 440 million logins in 2024. The platform is ISO 27001 certified, GDPR compliant, and built to scale from a single boutique hotel to a national retail estate. When you pair that with the performance and flexibility of Alta Labs hardware, you have a compelling enterprise WiFi stack.

If you follow this playbook, you will deliver a seamless, compliant WiFi experience that your marketing team and your security team will both be happy with.

Thank you for listening to the Purple Technical Briefing Series. Until next time, keep your networks secure and your data actionable.

Points clés à retenir

✓Alta Labs AP6 and AP6 Pro integrate with Purple via standard external captive portal redirect and RADIUS authentication - no proprietary APIs required.
✓A correctly configured walled garden is the most critical and most frequently misconfigured element: whitelist Purple domains, all OS captive portal probes, and every social login provider you enable.
✓Dynamic DNS resolution is essential for walled garden entries - static IP whitelists for OAuth providers will degrade as CDN IP addresses rotate.
✓AltaPass PPSK allows a single SSID to serve multiple tenants, staff groups, and IoT devices with isolated VLANs and per-password bandwidth policies.
✓When using RADIUS-assigned VLANs on Alta Labs hardware, set the SSID default VLAN to 1 to prevent the AP overriding the RADIUS assignment.
✓Always test captive portal deployments with fresh, unauthenticated devices - previously connected devices mask walled garden and redirect failures.
✓The Purple and Alta Labs stack meets PCI DSS network segmentation requirements and GDPR data handling obligations, making it suitable for retail and hospitality environments processing card payments.

Résumé exécutif

Les points d'accès Alta Labs AP6 et AP6 Pro s'intègrent au Captive Portal cloud de Purple à l'aide d'une authentification RADIUS standard et d'une redirection HTTP. Le point d'accès intercepte le trafic invité non authentifié, le redirige vers votre page de connexion Purple et accorde l'accès une fois que le serveur RADIUS de Purple renvoie un message Access-Accept. Pour les environnements multi-tenants, la technologie AltaPass d'Alta Labs attribue à chaque appareil connecté un VLAN et une politique de bande passante uniques en fonction du mot de passe utilisé - aucun SSID supplémentaire n'est requis. Ce guide vous fournit les étapes de configuration exactes, les listes de domaines walled garden et les paramètres RADIUS pour déployer l'intégration à partir de zéro. Purple est présent dans plus de 80 000 sites actifs et a traité 440 millions de connexions en 2024 (données internes de Purple). Le matériel Alta Labs est particulièrement adapté aux MSP et aux installateurs de bureaux intelligents qui ont besoin d'une segmentation de classe entreprise à un prix compétitif.

Architecture technique

L'intégration repose sur trois couches : la plateforme de gestion cloud Alta Labs, le matériel AP6 ou AP6 Pro en périphérie (edge), et l'infrastructure cloud de Purple qui gère l'authentification et les analyses.

Lorsqu'un invité se connecte au SSID ouvert ou WPA3-OWE, le point d'accès place l'appareil dans un état de pré-authentification restreint. Tout le trafic HTTP sortant est intercepté et redirigé vers l'URL de la page de connexion Purple. L'appareil ne peut accéder qu'aux domaines explicitement répertoriés dans le walled garden jusqu'à ce que l'authentification soit finalisée. Une fois que l'invité soumet ses identifiants sur la page de connexion Purple, le serveur RADIUS de Purple envoie un Access-Accept au point d'accès, qui lève la restriction et accorde un accès complet à Internet. Purple enregistre les données de session (type d'appareil, temps de présence, méthode de connexion) et les met à disposition dans le tableau de bord WiFi Analytics .

Pour les réseaux du personnel et des services internes, le même matériel de point d'accès gère l'authentification WPA2/WPA3-Enterprise (IEEE 802.1X). Le point d'accès agit en tant que client RADIUS, transmettant les demandes d'authentification à l'infrastructure SecurePass de Purple, qui valide à son tour les identifiants par rapport à Microsoft Entra ID, Okta ou Google Workspace. La réponse RADIUS Access-Accept contient l'attribut Tunnel-Private-Group-Id, que le point d'accès utilise pour placer dynamiquement l'appareil sur le bon VLAN.

Guide de mise en œuvre

Étape 1 : Ajouter le site et le matériel dans Purple

Avant de configurer le contrôleur Alta Labs, enregistrez le déploiement dans Purple.

Connectez-vous au portail de gestion Purple et accédez à Management > Locations.
Sélectionnez Venues and Groups > Add venue et suivez l'assistant d'ajout de site.
Depuis votre site, sélectionnez Hardware > Add hardware > Add new hardware.
Définissez le type de matériel sur WiFi AP et sélectionnez le type de point d'accès approprié.
Saisissez l'adresse MAC de chaque unité Alta Labs AP6 ou AP6 Pro.
Cliquez sur View Manual Online pour récupérer les adresses IP du serveur RADIUS, les ports et le secret partagé pour ce site. Notez ces valeurs - vous en aurez besoin à l'Étape 3.

Étape 2 : Configurer le SSID invité dans Alta Labs

Connectez-vous à la plateforme Alta Labs Cloud Management à l'adresse manage.alta.inc.

Accédez à Settings > WiFi et sélectionnez le SSID destiné à l'accès invité.
Dans Advanced Settings, définissez le type de réseau sur Guest. Cela applique automatiquement l'isolation des clients.
Faites défiler jusqu'à la section Hotspot et sélectionnez External.
Dans le champ Redirect URL, collez l'URL de la page de connexion Purple fournie dans les paramètres matériels de votre site (par ex., https://region1.purpleportal.net/access/).
Saisissez l'Authorisation Secret (secret partagé RADIUS) provenant des paramètres de votre site Purple.
Cliquez sur Save.

Étape 3 : Configurer l'authentification RADIUS

Une fois la redirection externe en place, configurez les paramètres RADIUS afin que le point d'accès puisse communiquer avec l'infrastructure d'authentification de Purple.

Paramètre	Valeur
IP du serveur d'authentification primaire	Fournie par les paramètres du site Purple
Port d'authentification	UDP 1812
IP du serveur de comptabilité primaire	Fournie par les paramètres du site Purple
Port de comptabilité	UDP 1813
Secret partagé	Fourni par les paramètres du site Purple

Pour les déploiements à haute disponibilité, configurez le serveur RADIUS secondaire à l'aide de l'adresse IP de secours fournie par Purple.

Étape 4 : Définir le walled garden

Le walled garden autorise des domaines spécifiques avant que l'authentification ne soit finalisée. Les entrées manquantes interrompront le flux du Captive Portal ou empêcheront le chargement des connexions via les réseaux sociaux. Saisissez les domaines suivants dans le champ Additional Authorised Hosts / IPs de la configuration du Hotspot Alta Labs.

Infrastructure Purple (requis)

Domaine	Objectif
`region1.purpleportal.net`	Hébergement de la page de connexion
`venuewifi.com`	Infrastructure de redirection Purple
`cloudfront.net`	CDN pour les ressources du portail

Sondes de Captive Portal du système d'exploitation (requis)

Domaine	OS
`captive.apple.com`	iOS / macOS
`connectivitycheck.gstatic.com`	Android
`msftconnecttest.com`	Windows

Connexion via les réseaux sociaux (à ajouter selon les fournisseurs activés)

Fournisseur	Domaines
Google	`accounts.google.com`, `oauth2.googleapis.com`, `apis.google.com`, `gstatic.com`
Facebook	`facebook.com`, `graph.facebook.com`, `connect.facebook.net`, `*.fbcdn.net`
Apple	`appleid.apple.com`, `idmsa.apple.com`, `*.apple.com`

PPSK AltaPass et segmentation multi-tenant

AltaPass est l'implémentation en instance de brevet d'Alta Labs des clés pré-partagées privées (PPSK). Elle permet à un seul SSID de supporter plusieurs mots de passe uniques, avec chaque mot de passe associé à un VLAN distinct, une limite de bande passante, un calendrier et une règle de contournement du hotspot. Cela élimine le besoin de diffuser des SSIDs distincts pour chaque locataire, groupe de personnel ou catégorie d'appareil.

Configuration d'AltaPass dans le tableau de bord Alta Labs

Sélectionnez votre SSID et accédez à la section de gestion des mots de passe.
Cliquez sur le bouton violet de type de réseau à gauche de chaque saisie de mot de passe.
Attribuez un ID de VLAN au mot de passe. Les clients se connectant avec ce mot de passe seront placés sur le sous-réseau VLAN spécifié.
Définissez les limites de bande passante (montante et descendante) par mot de passe selon les besoins.
Activez ou désactivez le contournement du hotspot par mot de passe. Les appareils IoT et les terminaux de point de vente contournent généralement le Captive Portal.
Appliquez des restrictions de calendrier si nécessaire (par exemple, restreindre l'accès Internet pour certains appareils en dehors des heures de bureau).

Pour un immeuble résidentiel de 72 unités, cela signifie un seul SSID et plus de 72 mots de passe uniques - un par unité, un pour la gestion, un pour le système d'automatisation du bâtiment. Chaque mot de passe est associé à un VLAN et un sous-réseau isolés. Les résidents de l'offre standard reçoivent 100 Mbps. Les résidents premium reçoivent 300 Mbps. L'équipe de gestion du bâtiment n'a aucune restriction. Les appareils IoT sont isolés sur un VLAN dédié avec inspection approfondie des paquets activée. C'est le modèle de déploiement qui réduit le nombre de SSIDs de 72 à un seul.

Attribution dynamique de VLAN via RADIUS

Pour les réseaux de personnel 802.1X, l'attribution de VLAN fonctionne via des attributs RADIUS plutôt que PPSK. La réponse RADIUS Access-Accept doit inclure :

Attribut	Valeur
`Tunnel-Type`	13 (VLAN)
`Tunnel-Medium-Type`	6 (IEEE-802)
`Tunnel-Private-Group-Id`	ID du VLAN cible (par ex., "20")

Important : définissez le VLAN par défaut sur le SSID sur le VLAN 1 (ou laissez-le non étiqueté) lors de l'utilisation de VLAN attribués par RADIUS. Si le VLAN par défaut est défini sur une valeur spécifique, le point d'accès peut remplacer l'attribution RADIUS par le paramètre par défaut configuré. Il s'agit d'un comportement connu dans le micrologiciel actuel d'Alta Labs.

Bonnes pratiques

Les recommandations suivantes s'appliquent à tout déploiement Alta Labs avec Purple, quel que soit le type d'établissement.

Utilisez la résolution DNS dynamique pour les entrées du walled garden. Les fournisseurs OAuth et les CDNs changent fréquemment d'adresses IP. Une liste blanche d'adresses IP statiques deviendra obsolète avec le temps. Configurez le contrôleur Alta Labs pour résoudre dynamiquement les domaines du walled garden, et définissez un TTL DNS d'au moins 30 secondes pour éviter une charge de requêtes excessive.

Définissez précisément le périmètre du walled garden. N'autorisez que les domaines requis pour le flux d'authentification. Une liste blanche trop large - en particulier l'ajout d'entrées génériques (wildcards) pour de grands domaines - crée un vecteur de contournement qui compromet l'objectif du Captive Portal.

Testez avec des appareils non authentifiés avant la mise en service. Utilisez un appareil qui ne s'est jamais connecté au réseau. Les appareils précédemment authentifiés peuvent avoir mis en cache des autorisations MAC ou des entrées DNS qui masquent les échecs du walled garden. Testez chaque méthode de connexion que vous prévoyez de proposer.

Examinez trimestriellement les domaines du walled garden. Apple, Google et Meta mettent périodiquement à jour leurs structures de domaines OAuth. Intégrez un examen trimestriel à votre calendrier opérationnel pour détecter les dérives avant qu'elles n'affectent les utilisateurs.

Segmentez les appareils IoT dès le départ. Utilisez AltaPass pour attribuer les appareils IoT à un VLAN dédié avec le contournement du hotspot activé. Mélanger le trafic IoT avec le trafic des invités ou du personnel crée des risques inutiles et complique la réponse aux incidents.

Pour une vue d'ensemble de l'architecture de sécurité WiFi d'entreprise, consultez notre guide sur la Sécurité WiFi d'entreprise : un guide complet pour 2026 .

Dépannage et atténuation des risques

La page d'accueil (splash page) ne s'affiche pas sur iOS. La cause la plus fréquente est l'absence de l'entrée captive.apple.com dans le walled garden. iOS utilise ce domaine pour détecter les Captive Portals. Si la requête de test est bloquée, l'assistant réseau captif ne se lance jamais et l'utilisateur voit une erreur de connectivité générique.

La connexion via les réseaux sociaux renvoie un écran vide ou une erreur CORS. Vérifiez si des sous-domaines CDN ou API sont manquants dans le walled garden. Les domaines *.fbcdn.net de Facebook et gstatic.com de Google sont les entrées les plus fréquemment omises. Utilisez les outils de développement du navigateur dans une session non authentifiée pour identifier les requêtes de domaine qui échouent.

L'attribution de VLAN échoue avec AltaPass. Vérifiez que le port du commutateur en amont connecté au point d'accès est configuré comme un port trunk et autorise les VLAN étiquetés. Un port de commutateur en mode accès rejettera silencieusement les trames étiquetées, laissant le client sans adresse IP.

L'authentification RADIUS expire. Confirmez que les ports UDP 1812 et 1813 sont ouverts en sortie sur le pare-feu périphérique. Vérifiez que le secret partagé dans la configuration d'Alta Labs correspond exactement à la valeur définie dans les paramètres d'établissement de Purple - une différence d'un seul caractère entraînera l'échec de toutes les demandes d'authentification.

L'attribution dynamique de VLAN place les utilisateurs sur le mauvais VLAN. Définissez le VLAN par défaut sur le SSID 802.1X sur le VLAN 1. Si le VLAN par défaut est défini sur une valeur spécifique, le point d'accès peut remplacer le VLAN attribué par RADIUS. Il s'agit d'un comportement au niveau du micrologiciel confirmé sur le forum de la communauté Alta Labs.

ROI et impact commercial

Le déploiement du matériel Alta Labs avec Purple Guest WiFi offre des retours mesurables sur trois dimensions : l'efficacité opérationnelle, la capture de données et la posture de sécurité.

Sur le plan opérationnel, la consolidation de plusieurs SSIDs en un seul réseau géré par AltaPass réduit les coûts de gestion et améliore les performances sans fil. Moins de SSIDs signifie moins de surcharge de trames de balise (beacon frames), ce qui se traduit directement par un débit plus élevé pour tous les appareils connectés.

Sur le plan des données, le Captive Portal de Purple capture des données de première main vérifiées à chaque connexion. Les établissements utilisant les forfaits Capture et Engage de Purple signalent une augmentation de 40 % des inscriptions à la base de données marketing par rapport à un réseau guest WiFi non géré (données internes de Purple). Ces données falimente directement WiFi Analytics , offrant aux équipes marketing une visibilité sur les flux de fréquentation, le temps de séjour et les taux de visites répétées.

Côté sécurité, l'attribution dynamique de VLAN isole le trafic des invités, du personnel et de l'IoT à la périphérie. Associée à l'infrastructure certifiée ISO 27001 de Purple et à un traitement des données conforme au GDPR, cette architecture répond aux exigences de segmentation réseau PCI DSS pour les établissements traitant des paiements par carte.

Pour les déploiements spécifiques à l' hôtellerie , la combinaison de pages de connexion personnalisées, d'intégrations de programmes de fidélité et de contrôles de bande passante par appareil crée une expérience client différenciée sans complexifier la tâche de l'équipe des opérations réseau.

Pour les environnements de commerce de détail , la possibilité d'isoler les terminaux de point de vente du WiFi invité sur la même infrastructure physique - à l'aide des règles de contournement AltaPass - élimine le besoin de câblage ou de matériel distinct, réduisant ainsi les dépenses d'investissement et de fonctionnement.

Guides connexes : Intégration d'Arista Cognitive Wi-Fi avec Purple WiFi | Configuration du Walled Garden pour le WiFi invité

Définitions clés

Captive portal

A web page that intercepts unauthenticated network traffic and requires the user to interact - log in, accept terms, or pay - before granting internet access. Purple hosts the splash page in the cloud; the Alta Labs AP handles the redirect.

The primary mechanism for guest data capture in hospitality, retail, and public-sector WiFi deployments.

Walled garden

A defined list of domains and IP addresses that a client device can access before completing captive portal authentication. Everything outside the list is blocked until the user logs in.

Critical for allowing social login APIs, OS detection probes, and portal CDN assets to function before authentication completes.

PPSK (Private Pre-Shared Key)

A security method where multiple unique passwords can be used on a single SSID, with each password assigning the connecting device to a specific VLAN, bandwidth policy, and access schedule.

Alta Labs implements this as AltaPass. Used in MDUs, smart offices, and stadiums to provide isolated access without SSID proliferation.

RADIUS

Remote Authentication Dial-In User Service. A networking protocol that provides centralised authentication, authorisation, and accounting (AAA) management. Purple acts as the RADIUS server; the Alta Labs AP acts as the RADIUS client.

The mechanism that tells the AP a guest has successfully authenticated and should be granted internet access.

Identity-Based Networking

A network architecture where access rights, VLANs, and bandwidth limits are applied based on the authenticated identity of the user or device, rather than the physical port or SSID they connect to.

Purple's term for the combination of RADIUS, PPSK, and VLAN assignment that enables consistent policies across a distributed estate.

Dynamic VLAN assignment

The process of placing a client device onto a specific Virtual Local Area Network based on authentication credentials returned by a RADIUS server, rather than a static SSID-to-VLAN mapping.

Essential for isolating staff, guest, and IoT traffic on shared wireless infrastructure. Requires correct RADIUS attributes: Tunnel-Type, Tunnel-Medium-Type, and Tunnel-Private-Group-Id.

Captive Network Assistant (CNA)

The built-in OS mechanism on iOS, Android, and Windows that detects a captive portal by probing a known URL. If the probe is redirected, the OS launches a pseudo-browser for the user to log in.

If the CNA probe domains are blocked in the walled garden, the user never sees the splash page. This is the most common captive portal failure mode.

WPA3-OWE

Wi-Fi Protected Access 3 - Opportunistic Wireless Encryption. A standard that encrypts data in transit on open networks without requiring a password, protecting guest privacy while still allowing captive portal redirection.

The recommended security mode for guest SSIDs in 2026. Provides encryption without the friction of a pre-shared key.

AltaPass

Alta Labs' patent-pending implementation of multi-password SSID technology. Allows a single SSID to carry unlimited unique passwords, each with its own VLAN, bandwidth limit, schedule, and hotspot bypass setting.

The primary tool for multi-tenant segmentation on Alta Labs hardware. Replaces the need for multiple SSIDs in residential, hospitality, and smart office deployments.

Exemples concrets

A 200-room hotel needs to provide tiered WiFi access: a free basic tier (10 Mbps) for standard guests, a premium paid tier (50 Mbps) for loyalty members, and a secure network for housekeeping staff. They want to avoid broadcasting multiple SSIDs to maintain RF performance across 40 Alta Labs AP6 Pro units.

Deploy a single SSID named 'Hotel Guest WiFi' with AltaPass enabled. Create three password profiles in the Alta Labs dashboard: (1) a standard guest password assigned to VLAN 10 with a 10 Mbps download limit and external hotspot redirect to the Purple splash page; (2) a loyalty member password assigned to VLAN 20 with a 50 Mbps limit - Purple can distribute this password post-authentication via its marketing automation; (3) a housekeeping staff password assigned to VLAN 30 with no bandwidth limit, hotspot bypass enabled, and client isolation disabled so staff devices can communicate with back-of-house systems. Configure the switch uplinks as trunks allowing VLANs 10, 20, and 30. The guest and loyalty VLANs route to the internet via NAT. The staff VLAN routes to the property management system subnet.

Commentaire de l'examinateur : This approach uses AltaPass to achieve Identity-Based Networking without SSID proliferation. The key insight is that hotspot bypass is a per-password setting, not a per-SSID setting. This allows the same SSID to serve both captive-portal guests and bypass-enabled staff simultaneously. The loyalty tier distribution via Purple's post-authentication flow is a common pattern in hospitality - the guest logs in on the standard tier, and Purple's marketing engine sends them a premium access code if they match the loyalty criteria.

A retail chain is deploying Purple Guest WiFi across 50 stores using Alta Labs hardware. During testing, the splash page loads correctly on Android devices, but Apple iOS devices show a generic 'No Internet Connection' error and do not display the login screen. The walled garden includes the Purple portal domain and Google OAuth entries.

Add captive.apple.com to the walled garden in the Alta Labs Hotspot configuration. iOS uses this domain as its Captive Network Assistant probe. When the device connects to a new network, iOS sends an HTTP request to captive.apple.com. If it receives the expected response, it assumes the network is open. If it receives a redirect, it launches the pseudo-browser. If the domain is blocked entirely, iOS cannot detect the captive portal and displays a connectivity error. Once the domain is whitelisted, iOS devices will detect the redirect and launch the login screen automatically.

Commentaire de l'examinateur : This is the single most common captive portal failure mode in the field. Android uses connectivitycheck.gstatic.com and Windows uses msftconnecttest.com for the same purpose. All three must be in the walled garden for a cross-platform deployment. The failure is particularly confusing because it presents as a network connectivity error rather than a portal error, leading engineers to investigate DHCP and DNS before checking the walled garden.

Questions d'entraînement

Q1. You are deploying Alta Labs AP6 Pro access points in a conference centre. The client requires a captive portal for attendees, but also needs point-of-sale terminals to connect securely to the same access points without seeing the splash page. Both device types should use the same SSID to simplify signage. How do you configure this?

Conseil : AltaPass allows per-password hotspot bypass settings on the same SSID.

Voir la réponse type

Enable AltaPass on the single SSID. Create one password for POS terminals that assigns them to a secure VLAN (e.g., VLAN 50) with hotspot bypass enabled - these devices connect directly to the network without seeing the captive portal. Create a separate password (or use an open connection) for attendees that triggers the external redirect to the Purple splash page on VLAN 10. Both device types connect to the same SSID but receive different network policies based on their password.

Q2. After configuring the Purple captive portal on an Alta Labs network, Android devices successfully display the splash page, but Apple iOS devices show a generic 'No Internet Connection' error and do not open the login screen. The walled garden includes the Purple portal domain and Google OAuth entries. What is the most likely cause and fix?

Conseil : iOS uses a specific domain to detect captive portals. If it cannot reach that domain, it assumes the network has no internet access.

Voir la réponse type

The walled garden is missing captive.apple.com. iOS sends an HTTP probe to this domain when connecting to a new network. If the probe is blocked, iOS cannot detect the captive portal and displays a connectivity error instead of launching the Captive Network Assistant. Add captive.apple.com to the walled garden in the Alta Labs Hotspot configuration. Also add connectivitycheck.gstatic.com for Android and msftconnecttest.com for Windows to ensure cross-platform compatibility.

Q3. A stadium IT director has configured RADIUS-assigned VLANs on an Alta Labs 802.1X staff network. The RADIUS server is sending the correct Tunnel-Private-Group-Id attribute (VLAN 20), but all staff devices are landing on VLAN 5, which is the default VLAN configured on the SSID. What is causing this and how do you resolve it?

Conseil : There is a known behaviour in Alta Labs firmware related to the interaction between the SSID default VLAN and RADIUS-assigned VLANs.

Voir la réponse type

The Alta Labs AP is overriding the RADIUS-assigned VLAN with the SSID default VLAN value. This is a known firmware behaviour: when the default VLAN on the SSID is set to a specific value (VLAN 5 in this case), the AP uses that value instead of the RADIUS-returned VLAN. The fix is to set the default VLAN on the 802.1X SSID to VLAN 1 (or leave it untagged). With the default set to VLAN 1, the AP correctly defers to the RADIUS-assigned VLAN for each authenticated user.

Continuer la lecture de cette série

Intégration des routeurs et points d'accès DrayTek Vigor avec Purple WiFi

Ce guide fournit des instructions techniques étape par étape pour intégrer les routeurs DrayTek Vigor et les points d'accès VigorAP avec la plateforme cloud de Purple. Il couvre la configuration du Captive Portal DrayTek pour le WiFi Invité, l'authentification 802.1X pour un WiFi Collaborateurs sécurisé, la configuration du Walled Garden, et la configuration Multiple PSK (PPSK) de DrayTek pour la segmentation réseau multi-locataire avec attribution dynamique de VLAN. Conçu pour les installateurs informatiques et les administrateurs réseau de PME déployant Purple dans les secteurs de l'hôtellerie, du commerce de détail et des sites multi-locataires.

Intégration d'Alcatel-Lucent Enterprise (ALE) OmniAccess avec Purple WiFi

Ce guide détaille l'intégration technique entre les points d'accès Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar et Purple WiFi. Il couvre la redirection vers le Captive Portal, l'authentification RADIUS, la configuration du Walled Garden, le WiFi sécurisé pour le personnel via 802.1X, et la segmentation WiFi multi-locataire à l'aide de clés privées pré-partagées (PPSK) avec routage VLAN dynamique - offrant aux responsables informatiques et aux architectes réseau une référence complète et exploitable pour déployer des réseaux basés sur l'identité sur le matériel ALE.

Intégration de WatchGuard Firebox avec Purple WiFi : Guide d'installation et de configuration

Ce guide est un manuel d'intégration étape par étape destiné aux responsables informatiques et aux architectes réseau qui déploient WatchGuard Firebox et des points d'accès avec Purple. Il couvre la redirection vers un Captive Portal externe pour le Guest WiFi, l'authentification sécurisée 802.1X pour le Staff WiFi, et la segmentation multi-tenant à l'aide des clés privées pré-partagées (PPSK) de WatchGuard avec routage VLAN dynamique, vous offrant ainsi une architecture unique et unifiée sur tous les niveaux d'accès.