Passer au contenu principal

Intégrer le login WiFi WeChat : Capturer l'engagement via les Captive Portals sociaux

Ce guide détaille comment intégrer l'authentification WiFi WeChat dans les Captive Portals d'entreprise, couvrant l'architecture OAuth 2.0, l'intégration RADIUS et le déploiement étape par étape sur les matériels Cisco Meraki, HPE Aruba et Juniper Mist. Il offre aux responsables informatiques et aux architectes réseau un cadre pratique pour capturer les données de première main des 1,3 milliard d'utilisateurs de WeChat tout en stimulant l'engagement via les abonnements aux comptes officiels et les redirections post-connexion.

📖 8 min de lecture📝 1,875 mots🔧 2 exemples concrets4 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans ce point technique de Purple. Je suis votre hôte et, aujourd'hui, nous plongeons au cœur d'une intégration essentielle pour les sites cherchant à capter l'engagement d'un public massif : l'intégration de la connexion WeChat WiFi via les portails captifs sociaux. Si vous êtes responsable informatique, architecte réseau ou directeur des opérations dans un hôtel, une chaîne de vente au détail ou un lieu public, vous connaissez le défi. Vous souhaitez offrir un WiFi invité fluide, mais votre équipe marketing exige des données de première main. Les formulaires d'inscription manuels entraînent des abandons et les connexions sociales génériques ne ciblent pas toujours efficacement les visiteurs internationaux, en particulier ceux originaires de Chine où WeChat est l'écosystème numérique dominant. C'est là que l'authentification WeChat WiFi intervient. Elle transforme un Captive Portal standard en un outil stratégique de capture de données. Aujourd'hui, nous allons détailler l'architecture technique, les étapes de mise en œuvre et les pièges courants à éviter. Commençons par l'architecture. Comment cela fonctionne-t-il concrètement ? L'authentification WeChat WiFi remplace la saisie manuelle traditionnelle des formulaires par un flux OAuth 2.0 intégré directement dans l'expérience du Captive Portal. Lorsqu'un invité se connecte à votre réseau WiFi, votre point d'accès ou votre contrôleur LAN sans fil intercepte le trafic et redirige l'utilisateur vers un Captive Portal hébergé sur la plateforme Purple Cloud. Au lieu de saisir une adresse e-mail, l'utilisateur sélectionne l'option de connexion WeChat. Cela déclenche un appel API vers la plateforme ouverte WeChat. L'utilisateur autorise la connexion au sein de son application WeChat, et WeChat renvoie un jeton d'accès et des données de profil utilisateur - telles que l'OpenID, l'unionid, le pseudonyme et l'avatar - à la plateforme Purple. Purple signale ensuite à votre serveur RADIUS d'envoyer un message Access-Accept à vos équipements réseau, accordant ainsi l'accès à Internet et appliquant les politiques configurées, telles que les limites de bande passante ou l'affectation de VLAN. Il s'agit d'une communication fluide et sécurisée entre cinq systèmes distincts, le tout en moins de trois secondes du point de vue de l'utilisateur. Maintenant, de quoi avez-vous besoin pour réaliser cela ? Il y a quatre composants clés. Premièrement, le compte officiel WeChat. Vous devez posséder un compte de service WeChat vérifié, appelé Fuwuhao en chinois. Les comptes d'abonnement ne disposent pas des autorisations API nécessaires pour l'intégration OAuth. Il s'agit d'une condition obligatoire. Le compte de service fournit l'AppID et l'AppSecret requis pour la communication API. Deuxièmement, le Captive Portal lui-même. Il s'agit de la page d'accueil personnalisée qui intercepte la session et présente le bouton de connexion WeChat. Elle doit être adaptée aux mobiles et capable de gérer correctement l'URI de redirection OAuth. Troisièmement, la gestion des identités et des accès. La plateforme Purple agit ici en tant qu'intermédiaire, gérant l'échange de jetons OAuth, associant les données de profil WeChat à votre CRM et gérant la communication RADIUS. Il s'agit de la couche d'intelligence qui connecte l'écosystème WeChat à votre infrastructure réseau. Et quatrièmement, votre matériel réseau. Des points d'accès d'entreprise de fournisseurs comme Cisco Meraki, HPE Aruba ou Juniper Mist, configurés pour rediriger le trafic non authentifié vers le Captive Portal externe et appliquer les attributs d'autorisation RADIUS. Alors, comment mettons-nous cela en œuvre ? C'est un processus en trois étapes. Première étape : Configurer le compte développeur WeChat. Vous devrez activer la fonctionnalité d'autorisation de page web OAuth 2.0 dans la plateforme WeChat Official Account. Enregistrez le domaine de votre Captive Portal en tant que domaine de rappel autorisé. Cela garantit que WeChat ne renvoie les codes d'autorisation qu'à votre infrastructure de confiance. Ensuite, récupérez votre AppID et votre AppSecret. Deuxième étape : Configurer la plateforme Purple. Accédez à la configuration des méthodes d'authentification, activez la connexion sociale WeChat et saisissez votre AppID et votre AppSecret. Concevez votre page de connexion pour mettre en évidence la connexion WeChat. Et de manière essentielle, configurez vos redirections post-authentification. Ne vous contentez pas d'envoyer les utilisateurs vers une page de réussite générique. Redirigez-les vers le profil de votre WeChat Official Account pour encourager les abonnements, ou vers une page d'atterrissage promotionnelle ciblée. Troisième étape : Configuration de l'infrastructure réseau. Sur votre contrôleur sans fil, configurez le SSID invité pour l'authentification par Captive Portal externe. Saisissez l'URL du Captive Portal Purple. Et voici l'étape de configuration la plus importante : configurez les entrées de l'espace d'accès limité, ou liste blanche. Vous devez inscrire sur liste blanche les domaines et les plages d'adresses IP de l'API WeChat afin que l'appareil de l'utilisateur puisse communiquer avec WeChat avant d'être entièrement authentifié sur le réseau. Si vous manquez cette étape, tout le flux s'interrompt. Parlons maintenant des meilleures pratiques et du dépannage. Qu'est-ce qui ne fonctionne pas, et comment l'éviter ? Je viens de mentionner l'espace d'accès limité. Un espace d'accès limité mal configuré est la cause numéro un des échecs de connexion WeChat dans les déploiements de production. Si l'appareil ne peut pas joindre les serveurs de WeChat avant l'authentification, le flux OAuth ne peut pas démarrer. Assurez-vous que tous les domaines WeChat nécessaires sont accessibles avant l'authentification. Testez cela rigoureusement avant la mise en service. Un autre problème courant est l'incohérence de redirection OAuth (OAuth Redirect Mismatch). Si l'URL de rappel enregistrée dans WeChat ne correspond pas exactement à l'URL de votre Captive Portal, WeChat bloquera l'autorisation. Les protocoles et les sous-domaines doivent correspondre parfaitement. HTTPS par rapport à HTTP, avec ou sans barre oblique finale - ces détails comptent. De plus, faites attention aux interférences de l'assistant de Captive Portal. Les systèmes d'exploitation mobiles utilisent ces mini-navigateurs pour gérer les réseaux captifs, mais ils manquent souvent de fonctionnalités complètes et peuvent interférer avec l'appel de l'application WeChat. Vous devrez peut-être implémenter un script de détection JavaScript pour forcer la connexion dans le navigateur natif du système. Sur le plan stratégique, ne gaspillez pas l'engagement post-connexion. Incitez les utilisateurs à suivre votre Official Account, à accéder à un plan intérieur ou à consulter un menu numérique. Maintenez leur engagement au sein de l'écosystème WeChat. Et concernant la minimisation des données : ne demandez que les données de profil WeChat nécessaires à vos objectifs marketing. Le fait de demander trop de permissions augmente le taux d'abandon et complique la conformité en matière de confidentialité. En parlant de conformité, la collecte de données via WeChat doit respecter les lois régionales sur la confidentialité, notamment le GDPR en Europe et la loi sur la protection des informations personnelles en Chine. Assurez-vous que les conditions d'utilisation de votre Captive Portal indiquent clairement quelles données sont collectées, comment elles sont utilisées et avec qui elles sont partagées. Mettez en œuvre des mécanismes de consentement explicite avant d'initier le flux OAuth. Passons maintenant à une séance de questions - réponses rapide sur les questions que nous entendons le plus souvent. Question : Puis-je utiliser un compte d'abonnement WeChat ? Non. Vous avez besoin d'un compte de service vérifié. Point final. Question : Dois-je ajouter les domaines WeChat à la liste blanche sur chaque point d'accès ? Oui. Le walled garden doit être configuré au niveau du SSID sur le contrôleur sans fil. Question : Combien de temps le jeton d'accès WeChat reste-t-il valide ? Les jetons d'accès WeChat expirent après deux heures. Assurez-vous que votre plateforme est configurée pour les renouveler automatiquement. Question : Quelles données est-ce que je reçois réellement de WeChat ? Vous recevez l'OpenID de l'utilisateur, son unionid s'il a autorisé plusieurs applications, son pseudonyme, l'URL de sa photo de profil, ainsi que sa ville et son pays d'enregistrement. Vous ne recevez pas son numéro de téléphone ou son adresse e-mail directement de WeChat. Pour résumer, voici les cinq points à retenir de la présentation d'aujourd'hui. Premièrement : l'authentification WeChat WiFi utilise OAuth 2.0 pour remplacer la saisie manuelle de formulaires par une connexion en un seul clic, augmentant ainsi les taux de complétion de 20 à 30 %. Deuxièmement : un compte de service WeChat vérifié est obligatoire. Les comptes d'abonnement ne fonctionneront pas. Troisièmement : la configuration du walled garden sur vos points d'accès est l'étape la plus critique et la plus fréquemment oubliée. Quatrièmement : les redirections post-authentification vers votre compte officiel convertissent les visiteurs éphémères en abonnés numériques à long terme. Et cinquièmement : assurez-vous que vos déclarations de consentement et de confidentialité couvrent à la fois les exigences du GDPR et de la PIPL avant de lancer le service. Voilà pour la présentation technique sur l'intégration de la connexion WeChat WiFi. Pour en savoir plus sur la stratégie de WiFi invité, les analyses et la conformité, visitez purple dot ai. Merci pour votre écoute.

header_image.png

Résumé exécutif

L'intégration de la connexion WeChat WiFi transforme un Captive Portal standard en un moteur stratégique de données propriétaires pour les visiteurs chinois et l'écosystème WeChat au sens large. Pour les responsables informatiques et les architectes réseau, le déploiement de la connexion WeChat via OAuth 2.0 et RADIUS nécessite de concilier un accès invité fluide avec une collecte de données sécurisée et conforme. Ce guide détaille l'architecture technique, les étapes de mise en œuvre et les considérations de sécurité pour le déploiement de l'authentification WeChat WiFi sur le matériel réseau d'entreprise, notamment Cisco Meraki, HPE Aruba, Ruckus et Juniper Mist. Il montre comment la plateforme Guest WiFi de Purple sert de médiateur pour le flux OAuth, mappe les données de profil à votre CRM et stimule l'engagement grâce à des redirections après connexion vers votre compte officiel WeChat.

WeChat compte plus de 1,3 milliard d'utilisateurs actifs mensuels, et les données de l'Organisation mondiale du tourisme indiquent que les dépenses des voyageurs chinois à l'étranger devaient atteindre 255 milliards de dollars en 2023. Pour les hôtels, le commerce de luxe, les aéroports et les centres de conférence, proposer la connexion WeChat WiFi est un canal de communication direct avec ce segment démographique. Purple opère dans plus de 80 000 sites actifs et a enregistré 440 millions de connexions en 2024, ce qui nous donne un aperçu direct de ce qui réussit et de ce qui échoue lors des déploiements en production.


Analyse technique approfondie

Comment fonctionne l'authentification WeChat WiFi

L'authentification WeChat WiFi remplace la saisie manuelle de formulaires par un flux OAuth 2.0 intégré directement dans l'expérience du Captive Portal. La séquence implique cinq composants qui communiquent dans un ordre défini :

  1. L'appareil de l'invité se connecte au SSID du site.
  2. Le point d'accès (AP) intercepte le trafic HTTP non authentifié et redirige l'appareil vers un Captive Portal hébergé par Purple.
  3. L'utilisateur sélectionne l'option de connexion WeChat sur la page du portail.
  4. Le portail lance une demande d'autorisation OAuth 2.0 auprès de l'API de la plateforme ouverte WeChat, en transmettant l'AppID du site et l'URI de redirection.
  5. Le client WeChat s'ouvre sur l'appareil et invite l'utilisateur à autoriser la connexion.
  6. WeChat renvoie un code d'autorisation à l'URI de redirection.
  7. La plateforme Purple échange le code d'autorisation contre un jeton d'accès et récupère les données de profil de l'utilisateur : OpenID, unionid, pseudo, avatar et lieu d'enregistrement.
  8. Purple signale au serveur RADIUS d'envoyer un message Access-Accept au point d'accès.
  9. Le point d'accès accorde l'accès à internet et applique les politiques configurées (attribution de VLAN, limites de bande passante, expiration de la session).
  10. Le portail redirige l'utilisateur vers le compte officiel WeChat du site ou vers une page de destination personnalisée.

authentication_flow_diagram.png

Prérequis concernant le type de compte

Il s'agit du point de défaillance unique le plus courant lors des déploiements WeChat WiFi. Vous devez impérativement utiliser un compte de service WeChat vérifié (Service Account - 服务号). Les comptes d'abonnement (Subscription Accounts) ne disposent pas des API d'autorisation web OAuth 2.0 requises pour l'intégration du Captive Portal. Le tableau ci-dessous synthétise les principales différences :

Fonctionnalité Service Account Subscription Account
Connexion WiFi OAuth 2.0 Oui Non
Niveau d'accès API Complet Restreint
Messages push par mois 4 30
Emplacement dans la liste de chat Oui (comme contact) Non (regroupé dans le dossier des abonnements)
Intégration WeChat Pay Oui Non
Vérification requise Oui Oui

L'obtention d'un Service Account vérifié nécessite soit une licence commerciale chinoise, soit une procédure de demande spécifique à l'étranger auprès de Tencent, ce qui implique des frais de vérification annuels de 99 $ et un délai d'examen de deux à quatre semaines.

Le Walled Garden : La configuration réseau la plus critique

Le walled garden (également appelé liste blanche de pré-authentification) définit les adresses IP et les domaines qu'un appareil peut atteindre avant de finaliser l'authentification sur le Captive Portal. Si les domaines de l'API WeChat ne figurent pas dans le walled garden, l'appareil ne peut pas lancer la liaison OAuth et la connexion échoue de manière invisible en arrière-plan.

Au minimum, les domaines suivants doivent être ajoutés à la liste blanche :

  • *.weixin.qq.com
  • *.wechat.com
  • *.wx.qq.com
  • res.wx.qq.com
  • mp.weixin.qq.com
  • Les plages d'adresses IP du CDN WeChat (consultez la documentation officielle des plages IP publiée par Tencent, car celles-ci changent périodiquement)

Sur Cisco Meraki, configurez ce paramètre sous Wireless > Access Control > Walled Garden. Sur HPE Aruba, utilisez la liste blanche du Captive Portal Profile. Sur Juniper Mist, configurez la liste des domaines autorisés du Guest Portal.

Intégration RADIUS et application des politiques

Dans cette architecture, Purple fonctionne comme un proxy RADIUS. Après un échange WeChat OAuth réussi, Purple envoie un message RADIUS Access-Accept au contrôleur sans fil du site. Le message Access-Accept peut transporter des attributs RADIUS standard afin d'appliquer des politiques par utilisateur :

  • Tunnel-Type et Tunnel-Private-Group-ID pour l'assignation de VLAN (isolant le trafic invité du réseau de l'entreprise, conformément aux meilleures pratiques de segmentation IEEE 802.1X)
  • Session-Timeout pour une déconnexion automatique après une période définie
  • WISPr-Bandwidth-Max-Up et WISPr-Bandwidth-Max-Down pour la limitation de la bande passante

L'architecture est indépendante du matériel. Purple s'intègre avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, et Fortinet sans modification de firmware ni serveur sur site.venue_deployment_overview.png


Guide d'implémentation

Étape 1 : Configurer le compte développeur WeChat

Connectez-vous à la plateforme WeChat Official Accounts (mp.weixin.qq.com). Naviguez vers Paramètres et développement > Centre de sécurité > Domaines d'autorisation Web. Activez l'autorisation web OAuth 2.0 et ajoutez le domaine de votre Captive Portal en tant que domaine de rappel autorisé (par exemple, wifi.yourvenue.com). WeChat renverra uniquement les codes d'autorisation aux domaines enregistrés ici - une non-correspondance entraînera des échecs silencieux.

Obtenez votre AppID et votre AppSecret depuis le panneau Paramètres et développement > Configuration de base. Stockez l'AppSecret de manière sécurisée ; traitez-le comme une clé privée.

Étape 2 : Configurer Purple

Dans le portail Purple, naviguez vers Authentification > Connexion sociale et activez WeChat. Saisissez l'AppID et l'AppSecret. Créez la page d'accueil de votre Captive Portal à l'aide de l'éditeur glisser-déposer de Purple. Positionnez le bouton de connexion WeChat en tant que principal appel à l'action (CTA) au-dessus de la ligne de flottaison.

Configurez la redirection post-authentification. Les options incluent :

  • La page de suivi du compte officiel WeChat de l'établissement (recommandé pour l'engagement)
  • Une page de destination promotionnelle hébergée dans un mini-programme WeChat
  • Une page d'enquête utilisant les outils de WiFi Analytics de Purple
  • Une page d'inscription au programme de fidélité

Activez la mise en cache des adresses MAC sous Authentification > Paramètres des visiteurs récurrents. Définissez la durée du cache pour qu'elle corresponde à votre fréquence de visite typique (7 jours sont recommandés pour le commerce de détail, 30 jours pour les hôtels). Les visiteurs récurrents se connectent automatiquement sans voir à nouveau le portail, tandis que leur visite reste enregistrée dans le tableau de bord analytique.

Étape 3 : Configurer le matériel réseau

Sur votre contrôleur sans fil, configurez l'SSID invité pour utiliser un Captive Portal externe. Saisissez l'URL du portail Purple comme URL de page d'accueil. Ajoutez les domaines WeChat au jardin d'enfants (walled garden). Définissez l'adresse IP du serveur RADIUS et le secret partagé fournis par Purple.

Avant de lancer la production, testez le flux complet avec un appareil mobile. Plus précisément :

  1. Connectez-vous à l'SSID invité.
  2. Confirmez que le Captive Portal se charge dans le mini-navigateur de l'assistant de Captive Portal.
  3. Appuyez sur le bouton de connexion WeChat et confirmez que le client WeChat s'ouvre.
  4. Autorisez la connexion et confirmez que l'accès internet est accordé.
  5. Confirmez que la redirection post-connexion se déclenche correctement.

Bonnes pratiques

Optimisez le jardin d'enfants (walled garden). Un jardin d'enfants mal configuré est la cause principale des échecs de connexion WeChat en production. Testez avant le lancement, et testez à nouveau après toute mise à jour du firmware réseau, car certains contrôleurs réinitialisent les entrées de la liste blanche lors des mises à niveau.

Stimulez l'engagement post-connexion. Le moment qui suit l'authentification est le point d'attention maximale de l'expérience WiFi invité. Redirigez les utilisateurs vers la page d'abonnement de votre compte officiel. Les visiteurs qui s'abonnent à votre compte restent joignables via des notifications push bien après avoir quitté le site.

Implémentez la mise en cache MAC pour les visiteurs réguliers. Exiger une authentification répétée à chaque visite dégrade l'expérience. La mise en cache MAC élimine les frictions pour les visiteurs réguliers tout en enregistrant la visite pour les analyses. Consultez les analyses WiFi de Purple pour obtenir des rapports sur le temps de séjour et les visites de retour.

Appliquez la minimisation des données. Ne demandez que les champs de profil WeChat que votre CRM utilise réellement. Demander des autorisations inutiles augmente le taux d'abandon d'autorisation et complexifie la conformité GDPR. Pour la plupart des sites, l'OpenID, le pseudo et l'avatar suffisent pour la personnalisation.

Isolez le trafic invité via des VLANs. Attribuez les invités authentifiés via WeChat à un VLAN dédié, isolé de vos réseaux d'entreprise ou de point de vente. Cela répond aux exigences d'isolation de réseau PCI DSS et limite la zone d'impact de tout incident de sécurité côté invité. Pour une étude complète de l'architecture de sécurité WiFi, consultez notre guide de sécurité WiFi d'entreprise .

Respectez le GDPR et la PIPL. Affichez une notice de confidentialité claire sur la page de splash avant que l'utilisateur ne lance le flux OAuth WeChat. La notice doit identifier le responsable du traitement, lister les catégories de données collectées auprès de WeChat, indiquer la base légale du traitement et renvoyer vers la politique de confidentialité complète. Pour des conseils détaillés, consultez notre guide de conformité GDPR pour le WiFi .


Résolution des problèmes et atténuation des risques

Incohérence de redirection OAuth

Si l'URL de redirection enregistrée dans la console développeur WeChat ne correspond pas exactement à l'URL que Purple utilise pour la redirection, WeChat renvoie un code d'erreur et bloque l'autorisation. Vérifiez les incohérences de protocole (HTTP vs HTTPS), les barres obliques de fin de chaîne et les différences de sous-domaine. Le domaine enregistré doit correspondre exactement à la chaîne de caractères.

Interférence de l'assistant de Captive Portal (CPA)

Les systèmes d'exploitation mobiles utilisent les mini-navigateurs CPA pour détecter et gérer les réseaux à Captive Portal. Ces mini-navigateurs manquent souvent de la capacité d'ouvrir des applications natives, ce qui interrompt la liaison avec l'application WeChat dans le flux OAuth. Les solutions d'atténuation incluent :

  • L'implémentation d'une redirection JavaScript qui détecte l'environnement CPA et ouvre le navigateur système complet avant de lancer le flux OAuth.
  • L'affichage d'instructions claires sur la page de splash indiquant aux utilisateurs d'ouvrir la page dans un navigateur complet si le bouton WeChat ne répond pas.

Expiration des jetons et sessions obsolètes

Les jetons d'accès WeChat expirent après deux heures. Si votre plateforme ne rafraîchit pas le jeton, le profil CRM de l'utilisateur cesse de se mettre à jour après la session initiale. Configurez les paramètres de rafraîchissement des jetons de Purple pour maintenir un jeton actif pendant toute la durée de la visite de l'invité.

Risques géopolitiques et réglementaires

WeChat est soumis à la réglementation du gouvernement chinois et à la politique de la plateforme Tencent. L'accès à l'API peut être suspendu ou modifié sans préavis. Pour atténuer ce risque, assurez-vous que votre Captive Portal prend en charge plusieurs méthodes d'authentification (e-mail, SMS, autres connexions sociales) afin qu'une panne de l'API WeChat ne mette pas l'ensemble de votre réseau WiFi invité hors ligne. Les portails multicanaux de Purple prennent nativement en charge cette architecture de secours.


ROI et impact commercial

Le déploiement de l'authentification WiFi WeChat offre des retours mesurables sur trois dimensions.

Taux de capture de données plus élevés. La connexion sociale élimine les frictions liées au remplissage de formulaires. Les établissements utilisant les options de connexion sociale de Purple signalent des taux de réussite d'authentification supérieurs de 20 à 30 % à ceux des portails comparables basés uniquement sur l'e-mail (données internes de Purple, 2024). Pour un établissement gérant 500 connexions WiFi invités par jour, une hausse de 25 % représente 125 profils vérifiés supplémentaires capturés quotidiennement.

Croissance du nombre d'abonnés au Compte Officiel. Rediriger les utilisateurs authentifiés vers la page d'abonnement du Compte Officiel convertit un flux de visiteurs éphémères en une audience numérique joignable. Un hôtel accueillant 200 visiteurs authentifiés par WeChat par jour qui atteint un taux d'abonnement de 40 % gagne 80 nouveaux abonnés au Compte Officiel par jour - des abonnés qui peuvent recevoir des notifications push ciblées sur des offres de séjour, des mises à jour du programme de fidélité et des promotions saisonnières.

Visibilité opérationnelle. La plateforme WiFi Analytics de Purple corrèle les sessions authentifiées via WeChat avec le temps de séjour, la fréquence des visites et les données de déplacement au niveau de chaque zone. Cela donne aux directeurs d'exploitation des établissements les données nécessaires pour optimiser le personnel, l'agencement et le calendrier des promotions. Pour les établissements du secteur de l' hospitality , ces données s'intègrent directement aux systèmes PMS pour enrichir les profils des clients.

Pour les environnements de retail , l'authentification WeChat combinée à la plateforme d'analyse de Purple reproduit la richesse des données de type e-commerce dans un point de vente physique - une capacité qui devient de plus en plus précieuse à mesure que la disparition des cookies tiers réduit l'efficacité du reciblage numérique.


Pour obtenir des conseils connexes, consultez notre guide de conformité GDPR pour le WiFi et notre guide de sécurité WiFi pour les entreprises . Pour découvrir comment Purple se déploie dans des secteurs spécifiques, consultez nos pages dédiées à l'atout hôtellerie , au commerce de détail , à la santé et aux transports .

Définitions clés

OAuth 2.0

Un protocole d'autorisation standard de l'industrie qui permet à un utilisateur d'accorder à une application tierce l'accès à ses données de compte sur un autre service sans partager son mot de passe. Dans l'authentification WiFi WeChat, le Captive Portal est l'application tierce et WeChat est le fournisseur d'identité.

Le mécanisme sous-jacent pour toutes les connexions WiFi via les réseaux sociaux. Les équipes informatiques y sont confrontées lors de la configuration de l'AppID, de l'AppSecret et de l'URI de redirection dans la console développeur WeChat et la plateforme Purple.

Captive Portal

Une page web qui intercepte le trafic réseau d'un appareil et exige que l'utilisateur s'authentifie ou accepte des conditions avant de lui accorder l'accès à internet. Il fonctionne en redirigeant toutes les requêtes HTTP vers l'URL du portail jusqu'à ce que l'authentification soit terminée.

Le composant visible par l'utilisateur du système de connexion WeChat WiFi. Purple héberge et gère le Captive Portal sous forme de superposition cloud sur le matériel existant du site.

Walled garden

Une liste blanche de pré-authentification d'adresses IP et de domaines qu'un appareil peut atteindre avant de terminer sa connexion au Captive Portal. Requis pour permettre à l'appareil de communiquer avec les serveurs d'authentification de WeChat pendant le flux OAuth.

L'élément le plus fréquemment mal configuré lors des déploiements WeChat WiFi. Il doit être configuré au niveau de l'SSID sur le contrôleur sans fil.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau fournissant une authentification, une autorisation et une traçabilité centralisées pour l'accès au réseau. Après un échange WeChat OAuth réussi, Purple envoie un message RADIUS Access-Accept au point d'accès pour accorder l'accès à internet.

Le protocole qui connecte la plateforme d'identité Purple au matériel réseau du site. Les équipes informatiques configurent les adresses IP du serveur RADIUS et les secrets partagés dans le contrôleur sans fil.

Compte de Service WeChat (服务号)

Une catégorie de Compte Officiel WeChat conçue pour les entreprises, offrant un accès complet aux API, y compris l'autorisation de page web OAuth 2.0. Apparaît comme un contact dans la liste de discussion de l'utilisateur. Nécessite un enregistrement d'entreprise en Chine ou une vérification à l'étranger.

Le type de compte obligatoire pour la connexion WeChat WiFi. Les comptes d'abonnement ne peuvent pas être utilisés à cette fin.

OpenID

Un identifiant unique attribué par WeChat à un utilisateur spécifique pour un Compte Officiel spécifique. Deux Comptes Officiels différents recevront des OpenID différents pour le même utilisateur.

La clé primaire utilisée par le CRM pour identifier et suivre les utilisateurs individuels à travers les sessions WiFi.

Unionid

Un identifiant unique attribué par WeChat à un utilisateur spécifique pour l'ensemble des Comptes Officiels et des Mini Programmes enregistrés sous le même compte de plateforme ouverte WeChat. Permet la reconnaissance des utilisateurs de manière transversale.

Pertinent pour les marques disposant de multiples points de contact WeChat (par exemple, une chaîne de vente au détail disposant à la fois d'un portail WiFi et d'un Mini Programme d'achat) qui souhaitent unifier le profil de l'utilisateur à travers toutes les interactions.

Mise en cache de l'adresse MAC

Une fonctionnalité réseau qui stocke l'identifiant matériel unique d'un appareil (adresse MAC) après l'authentification initiale, permettant au réseau d'accorder automatiquement l'accès lors des connexions suivantes sans afficher à nouveau le Captive Portal.

Utilisé pour améliorer l'expérience des visiteurs récurrents. Purple enregistre la visite de retour pour les analyses même lorsque le portail ne s'affiche pas.

Captive Portal Assistant (CPA)

Le mini-navigateur lancé automatiquement par iOS et Android lorsqu'ils détectent un réseau nécessitant une authentification par Captive Portal. Les CPA ont des fonctionnalités limitées et peuvent ne pas prendre en charge les appels d'applications natives requis pour le flux WeChat OAuth.

Les équipes informatiques doivent tester le flux de connexion WeChat spécifiquement dans l'environnement du CPA et implémenter une détection JavaScript pour rediriger vers le navigateur complet du système si nécessaire.

VLAN

Virtual Local Area Network. Un segment de réseau logique qui isole le trafic des autres segments sur la même infrastructure physique. Utilisé pour séparer le trafic WiFi invité des réseaux d'entreprise ou de point de vente.

Les attributs RADIUS renvoyés par Purple peuvent affecter les invités authentifiés par WeChat à un VLAN spécifique, répondant ainsi aux exigences de segmentation réseau de la norme PCI DSS.

Exemples concrets

Une marque de vente au détail de luxe à Londres souhaite offrir un WiFi fluide aux touristes chinois tout en augmentant le nombre d'abonnés sur son compte officiel WeChat. Elle utilise actuellement des points d'accès Cisco Meraki et un portail standard de capture d'e-mails. Son équipe informatique dispose de deux semaines pour le déploiement avant une campagne majeure pour le Nouvel An chinois.

Semaine un : Enregistrer et vérifier un compte de service WeChat s'il n'est pas déjà en place (prévoir deux à quatre semaines pour l'approbation de Tencent, cette étape aurait donc dû commencer plus tôt - si ce n'est pas le cas, utiliser une entité chinoise tierce vérifiée comme mesure provisoire). Configurer la console développeur WeChat avec le domaine de rappel correspondant à l'URL du portail Purple. Dans la plateforme Purple, activer la connexion sociale WeChat, saisir l'AppID et l'AppSecret, puis concevoir la splash page avec WeChat comme option de connexion principale. Configurer la redirection post-authentification vers la page d'abonnement au compte officiel WeChat de la marque. Semaine deux : Dans le tableau de bord Meraki, mettre à jour le SSID invité pour pointer vers l'URL du portail Purple. Ajouter tous les domaines de l'API WeChat à la liste d'accès (walled garden) Meraki sous Wireless > Access Control. Configurer les détails du serveur RADIUS. Tester le flux complet de bout en bout depuis un appareil iOS et Android. Activer la mise en cache MAC pour une reconnaissance des visiteurs de retour à 30 jours. Lancer la mise en production.

Commentaire de l'examinateur : Cette approche utilise le matériel Meraki existant sans aucune modification du firmware. L'élément critique du chemin critique est la vérification du compte WeChat - elle doit être lancée bien avant la date limite de toute campagne. La redirection post-connexion vers la page d'abonnement du compte officiel est la décision de configuration à plus forte valeur ajoutée, car elle transforme une connexion WiFi unique en un canal marketing à long terme.

Un stade d'une capacité de 15 000 personnes accueille une série d'événements internationaux avec un nombre important de participants sinophones. Le directeur informatique signale que 35 % des visiteurs abandonnent le formulaire de connexion WiFi avant de l'avoir rempli. Le réseau fonctionne avec des points d'accès HPE Aruba gérés via Aruba Central.

Déployer le Captive Portal de Purple avec WeChat comme option de connexion sociale principale, aux côtés des options de secours par e-mail et SMS. Configurer le profil du Captive Portal Aruba Central pour rediriger vers Purple et ajouter les domaines WeChat à la liste des domaines autorisés. Implémenter un script de détection CPA en JavaScript sur la splash page pour forcer le flux OAuth dans le navigateur système natif, en contournant le mini-navigateur CPA d'Aruba. Configurer les attributs RADIUS pour affecter les fans authentifiés à un VLAN invité dédié, isolé du réseau opérationnel du stade. Définir l'expiration de la session sur quatre heures pour couvrir la durée typique d'un événement sans nécessiter de réauthentification. Après l'authentification, rediriger les fans vers un mini-programme WeChat hébergeant le programme de l'événement, les scores en direct et un service de commande de nourriture.

Commentaire de l'examinateur : Le script de détection CPA est la clé technique différenciatrice ici. Sans lui, l'appel à l'application WeChat échoue dans le mini-navigateur et les utilisateurs font face à une expérience brisée. La redirection vers le mini-programme maximise l'engagement post-authentification en offrant aux fans une valeur immédiate et pertinente - ce qui augmente également la probabilité qu'ils suivent le compte officiel du site.

Questions d'entraînement

Q1. La nouvelle connexion WeChat WiFi de votre site échoue. Les invités appuient sur le bouton WeChat de la page d'accueil, mais la page expire avant que l'application WeChat ne s'ouvre. Le tableau de bord Cisco Meraki indique que le SSID est en ligne et que l'URL du portail Purple est correctement configurée. Quelle est la cause la plus probable et comment la corriger ?

Conseil : Pensez à l'accès réseau dont dispose l'appareil avant de terminer l'authentification.

Voir la réponse type

Le walled garden sur le SSID Meraki est mal configuré. L'appareil ne peut pas atteindre les domaines API de WeChat avant l'authentification, ce qui empêche l'initiation de la liaison OAuth. Solution : accédez à Sans fil > Contrôle d'accès dans le tableau de bord Meraki, localisez la section Walled Garden, puis ajoutez les domaines WeChat requis, notamment *.weixin.qq.com, *.wechat.com et *.wx.qq.com. Testez en tentant à nouveau le flux de connexion depuis un appareil qui ne s'est jamais connecté au SSID auparavant.

Q2. Un directeur marketing souhaite utiliser son compte d'abonnement WeChat existant (订阅号) pour activer la connexion WiFi car cela permet de publier des articles quotidiens aux abonnés. Il vous demande de configurer l'intégration. Que répondez-vous ?

Conseil : Examinez les niveaux d'accès API pour les différents types de comptes WeChat.

Voir la réponse type

Informez-le qu'un compte d'abonnement ne peut pas être utilisé pour l'authentification WiFi. Les API d'autorisation de page web OAuth 2.0 requises pour l'intégration de Captive Portal sont uniquement disponibles pour les comptes de service vérifiés (服务号). Ils devront enregistrer un compte de service. Cela nécessite une licence commerciale chinoise ou une demande à l'étranger via le processus spécial de Tencent, qui prend de deux à quatre semaines et coûte 99 $ par an. Le compte d'abonnement peut rester actif pour la publication de contenu ; les deux types de comptes répondent à des besoins différents et peuvent coexister.

Q3. Après un déploiement réussi de WeChat WiFi, l'équipe informatique constate que les utilisateurs authentifiés il y a trois semaines n'apparaissent plus dans le CRM avec des données de visite mises à jour, même s'ils se connectent au réseau. Quelle est la cause probable ?

Conseil : Prenez en compte les paramètres de gestion de session configurés dans Purple et la durée du cache MAC.

Voir la réponse type

La durée du cache MAC est probablement configurée sur une valeur inférieure à trois semaines (par exemple, 14 jours), de sorte que les utilisateurs de retour obtiennent l'accès via le cache MAC sans déclencher de nouvel événement d'authentification ou de mise à jour du CRM. Alternativement, le jeton d'accès WeChat de ces utilisateurs a expiré et la plateforme ne le renouvelle pas. Solution : augmentez la durée du cache MAC à 30 jours dans les paramètres des visiteurs récurrents de Purple, et assurez-vous que la configuration de renouvellement des jetons est active. Confirmez également que Purple enregistre les visites par cache MAC en tant qu'événements de retour dans le tableau de bord d'analyse, même lorsque le portail n'est pas affiché.

Q4. Votre établissement est présent à la fois au Royaume-Uni et en Chine continentale. Vous souhaitez déployer un système d'authentification WeChat WiFi unifié. Quelles obligations de conformité devez-vous respecter avant la mise en service ?

Conseil : Deux régimes de confidentialité distincts s'appliquent aux deux zones géographiques.

Voir la réponse type

Vous devez vous conformer à la fois au GDPR (applicable aux utilisateurs au Royaume-Uni et dans l'UE) et à la loi sur la protection des informations personnelles en Chine (PIPL, applicable aux utilisateurs en Chine continentale). Les exigences clés comprennent : l'affichage d'un avis de confidentialité clair sur la splash page avant de lancer le flux OAuth, l'identification du responsable du traitement des données et la liste des catégories de données collectées à partir de WeChat, la mention de la base juridique du traitement sous chaque régime (intérêts légitimes ou consentement en vertu du GDPR ; consentement en vertu de la PIPL), la mise à disposition d'un mécanisme permettant aux utilisateurs de retirer leur consentement et de demander la suppression, et la garantie que des mécanismes de transfert de données sont en place si les données de profil WeChat circulent entre les juridictions. Consultez le guide de conformité GDPR de Purple et votre conseiller juridique pour connaître les exigences spécifiques à chaque juridiction.