Passer au contenu principal
Français

Intégration de la connexion WiFi via WeChat : Capter l'engagement grâce aux Captive Portals sociaux

Ce guide détaille comment intégrer l'authentification WiFi WeChat dans les Captive Portals d'entreprise, couvrant l'architecture OAuth 2.0, l'intégration RADIUS et le déploiement étape par étape sur le matériel Cisco Meraki, HPE Aruba et Juniper Mist. Il offre aux responsables informatiques et aux architectes réseau un cadre pratique pour capturer les données de première partie des 1,3 milliard d'utilisateurs de WeChat tout en stimulant l'engagement via les abonnements aux comptes officiels et les redirections post-connexion.

📖 8 min de lecture📝 1,875 mots🔧 2 exemples concrets4 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans ce point technique de Purple. Je suis votre hôte, et aujourd'hui nous plongeons au cœur d'une intégration essentielle pour les sites qui cherchent à capter l'engagement d'un groupe démographique massif : l'intégration de la connexion WiFi WeChat via les Captive Portals sociaux. Si vous êtes responsable informatique, architecte réseau ou directeur des opérations dans un hôtel, une chaîne de magasins ou un lieu public, vous connaissez le défi. Vous voulez offrir un WiFi invité sans friction, mais votre équipe marketing exige des données de première partie. Les formulaires d'inscription manuels provoquent des abandons, et les connexions sociales génériques ne conviennent pas toujours aux visiteurs internationaux, en particulier ceux de Chine où WeChat est l'écosystème numérique dominant. C'est là qu'intervient l'authentification WiFi WeChat. Elle transforme un Captive Portal standard en un outil stratégique de capture de données. Aujourd'hui, nous allons détailler l'architecture technique, les étapes de mise en œuvre et les pièges courants à éviter. Commençons par l'architecture. Comment cela fonctionne-t-il concrètement ? L'authentification WiFi WeChat remplace la saisie manuelle traditionnelle des formulaires par un flux OAuth 2.0 intégré directement dans l'expérience du Captive Portal. Lorsqu'un invité se connecte à votre réseau WiFi, votre point d'accès ou contrôleur LAN sans fil intercepte le trafic et redirige l'utilisateur vers un Captive Portal hébergé sur la plateforme cloud Purple. Au lieu de saisir une adresse e-mail, l'utilisateur sélectionne l'option de connexion WeChat. Cela déclenche un appel d'API vers la plateforme ouverte WeChat. L'utilisateur autorise la connexion au sein de son application WeChat, et WeChat renvoie un jeton d'accès et des données de profil utilisateur - comme l'OpenID, l'unionid, le pseudo et l'avatar - à la plateforme Purple. Purple signale ensuite à votre serveur RADIUS d'envoyer un message Access-Accept à votre matériel réseau, accordant l'accès à Internet et appliquant les politiques configurées, telles que les limites de bande passante ou l'attribution de VLAN. Il s'agit d'une liaison fluide et sécurisée entre cinq systèmes distincts, le tout en moins de trois secondes du point de vue de l'utilisateur. Maintenant, de quoi avez-vous besoin pour réaliser cela ? Il y a quatre composants clés. Premièrement, le compte officiel WeChat. Vous devez posséder un compte de service WeChat vérifié, connu en chinois sous le nom de Fuwuhao. Les comptes d'abonnement ne disposent pas des autorisations d'API nécessaires pour l'intégration OAuth. C'est une exigence absolue. Le compte de service fournit l'AppID et l'AppSecret requis pour la communication API. Deuxièmement, le Captive Portal lui-même. Il s'agit de la splash page personnalisée qui intercepte la session et présente le bouton de connexion WeChat. Elle doit être adaptée aux mobiles et capable de gérer correctement l'URI de redirection OAuth. Troisièmement, la gestion des identités et des accès. La plateforme Purple agit ici comme intermédiaire, gérant l'échange de jetons OAuth, associant les données de profil WeChat à votre CRM et gérant la communication RADIUS. C'est la couche d'intelligence qui connecte l'écosystème WeChat à votre infrastructure réseau. Et quatrièmement, votre matériel réseau. Des points d'accès d'entreprise de fournisseurs comme Cisco Meraki, HPE Aruba ou Juniper Mist, configurés pour rediriger le trafic non authentifié vers le Captive Portal externe et appliquer les attributs d'autorisation RADIUS. Alors, comment mettre cela en œuvre ? C'est un processus en trois étapes. Étape 1 : Configurer le compte développeur WeChat. Vous devrez activer la fonctionnalité d'autorisation de page web OAuth 2.0 dans la plateforme de compte officiel WeChat. Enregistrez le domaine de votre Captive Portal en tant que domaine de rappel autorisé. Cela garantit que WeChat ne renvoie des codes d'autorisation qu'à votre infrastructure de confiance. Ensuite, récupérez votre AppID et votre AppSecret. Étape 2 : Configurer la plateforme Purple. Accédez à la configuration des méthodes d'authentification, activez la connexion sociale WeChat et saisissez votre AppID et votre AppSecret. Concevez votre splash page pour mettre en valeur la connexion WeChat. Et surtout, configurez vos redirections post-authentification. Ne vous contentez pas d'envoyer les utilisateurs vers une page de réussite générique. Redirigez-les vers le profil de votre compte officiel WeChat pour encourager les abonnements, ou vers une page de destination promotionnelle ciblée. Étape 3 : Configuration de l'infrastructure réseau. Sur votre contrôleur sans fil, configurez le SSID invité pour l'authentification par Captive Portal externe. Saisissez l'URL du Captive Portal Purple. Et voici l'étape de configuration la plus importante : configurez les entrées du walled garden, ou liste blanche. Vous devez mettre sur liste blanche les domaines de l'API WeChat et les plages d'adresses IP afin que l'appareil de l'utilisateur puisse communiquer avec WeChat avant d'être entièrement authentifié sur le réseau. Si vous manquez cette étape, tout le flux s'effondre. Parlons maintenant des meilleures pratiques et du dépannage. Qu'est-ce qui peut mal tourner et comment l'éviter ? Je viens de mentionner le walled garden. Un walled garden mal configuré est la cause numéro un des échecs de connexion WeChat dans les déploiements en production. Si l'appareil ne peut pas atteindre les serveurs de WeChat avant l'authentification, le flux OAuth ne peut pas démarrer. Assurez-vous que tous les domaines WeChat nécessaires sont accessibles avant l'authentification. Testez cela rigoureusement avant la mise en ligne. Un autre problème courant est l'incohérence de la redirection OAuth. Si l'URL de rappel enregistrée dans WeChat ne correspond pas exactement à l'URL de votre Captive Portal, WeChat bloquera l'autorisation. Les protocoles et les sous-domaines doivent correspondre parfaitement. HTTPS ou HTTP, avec ou sans barre oblique finale - ces détails comptent. De plus, méfiez-vous des interférences du Captive Portal Assistant. Les systèmes d'exploitation mobiles utilisent ces mini-navigateurs pour gérer les réseaux captifs, mais ils manquent souvent de fonctionnalités complètes et peuvent interférer avec l'appel de l'application WeChat. Vous devrez peut-être implémenter un script de détection JavaScript pour forcer la connexion dans le navigateur système natif. Sur le plan stratégique, ne gaspillez pas l'engagement post-connexion. Incitez les utilisateurs à s'abonner à votre compte officiel, à accéder à un plan intérieur ou à consulter un menu numérique. Maintenez leur engagement au sein de l'écosystème WeChat. Et concernant la minimisation des données : ne demandez que les données de profil WeChat nécessaires à vos objectifs marketing. Demander trop d'autorisations augmente les taux d'abandon et complique la conformité en matière de confidentialité. En parlant de conformité, la collecte de données via WeChat doit respecter les lois régionales sur la protection de la vie privée, y compris le GDPR en Europe et la loi sur la protection des informations personnelles en Chine. Assurez-vous que les conditions d'utilisation de votre Captive Portal indiquent clairement quelles données sont collectées, comment elles sont utilisées et avec qui elles sont partagées. Mettez en place des mécanismes de consentement explicite avant de lancer le flux OAuth. Passons maintenant à une session rapide de questions-réponses sur les interrogations les plus fréquentes. Question : Puis-je utiliser un compte d'abonnement WeChat ? Non. Vous avez besoin d'un compte de service vérifié. Point final. Question : Dois-je mettre sur liste blanche les domaines WeChat sur chaque point d'accès ? Oui. Le walled garden doit être configuré au niveau du SSID sur le contrôleur sans fil. Question : Combien de temps le jeton d'accès WeChat reste-t-il valide ? Les jetons d'accès WeChat expirent après deux heures. Assurez-vous que votre plateforme est configurée pour les rafraîchir automatiquement. Question : Quelles données est-ce que je reçois réellement de WeChat ? Vous recevez l'OpenID de l'utilisateur, son unionid s'il a autorisé plusieurs applications, son pseudo, l'URL de sa photo de profil, ainsi que sa ville et son pays d'enregistrement. Vous ne recevez pas son numéro de téléphone ni son adresse e-mail directement de WeChat. Pour résumer, voici les cinq points à retenir de notre point technique d'aujourd'hui. Un : L'authentification WiFi WeChat utilise OAuth 2.0 pour remplacer la saisie manuelle des formulaires par une connexion en un seul clic, augmentant les taux de complétion de 20 à 30 %. Deux : Un compte de service WeChat vérifié est obligatoire. Les comptes d'abonnement ne fonctionneront pas. Trois : La configuration du walled garden sur vos points d'accès est l'étape la plus critique et la plus fréquemment omise. Quatre : Les redirections post-authentification vers votre compte officiel convertissent les visiteurs éphémères en abonnés numériques à long terme. Et cinq : Assurez-vous que vos déclarations de consentement et de confidentialité couvrent à la fois les exigences du GDPR et de la PIPL avant de lancer le service. Voilà pour ce point technique sur l'intégration de la connexion WiFi WeChat. Pour en savoir plus sur la stratégie de WiFi invité, les analyses et la conformité, visitez purple dot ai. Merci pour votre écoute.

header_image.png

Synthèse opérationnelle

L'intégration de la connexion WiFi via WeChat transforme un Captive Portal standard en un moteur stratégique de collecte de données de première partie pour les établissements accueillant des visiteurs chinois et l'écosystème WeChat au sens large. Pour les responsables informatiques et les architectes réseau, le déploiement de la connexion WeChat via OAuth 2.0 et RADIUS exige de concilier un accès invité fluide avec une collecte de données sécurisée et conforme. Ce guide détaille l'architecture technique, les étapes de mise en œuvre et les considérations de sécurité pour déployer l'authentification WiFi WeChat sur les réseaux d'entreprise équipés de matériels tels que Cisco Meraki, HPE Aruba, Ruckus et Juniper Mist. Il montre comment la plateforme Guest WiFi de Purple gère le flux OAuth, associe les données de profil à votre CRM et stimule l'engagement via des redirections post-connexion vers votre compte officiel WeChat.

WeChat compte plus de 1,3 milliard d'utilisateurs actifs mensuels, les touristes chinois ayant dépensé environ 255 milliards de dollars à l'international en 2023 (données de l'Organisation mondiale du tourisme). Pour les hôtels, le commerce de luxe, les aéroports et les centres de congrès, proposer la connexion WiFi WeChat constitue un canal direct vers cette cible démographique. Purple opère dans plus de 80 000 sites actifs et a enregistré 440 millions de connexions en 2024, ce qui nous confère une visibilité directe sur ce qui fonctionne et ce qui échoue lors des déploiements en production.

Analyse technique approfondie

Fonctionnement de l'authentification WiFi WeChat

L'authentification WiFi WeChat remplace la saisie manuelle d'un formulaire par un flux OAuth 2.0 intégré directement dans l'expérience du Captive Portal. La séquence implique cinq composants qui communiquent dans un ordre défini :

  1. L'appareil de l'invité se connecte au SSID de l'établissement.
  2. Le point d'accès intercepte le trafic HTTP non authentifié et redirige l'appareil vers le Captive Portal hébergé par Purple.
  3. L'utilisateur sélectionne l'option de connexion WeChat sur la page d'accueil.
  4. Le portail lance une demande d'autorisation OAuth 2.0 auprès de l'API de la plateforme ouverte WeChat, en transmettant l'AppID de l'établissement et un URI de redirection.
  5. L'application WeChat s'ouvre sur l'appareil et invite l'utilisateur à autoriser la connexion.
  6. WeChat renvoie un code d'autorisation à l'URI de redirection.
  7. La plateforme Purple échange le code contre un jeton d'accès et récupère les données de profil de l'utilisateur : OpenID, unionid, pseudo, avatar et lieu d'enregistrement.
  8. Purple signale au serveur RADIUS d'envoyer un message Access-Accept au point d'accès.
  9. Le point d'accès accorde l'accès à Internet et applique les politiques configurées (attribution de VLAN, limites de bande passante, expiration de session).
  10. Le portail redirige l'utilisateur vers le compte officiel WeChat de l'établissement ou vers une page de destination ciblée.

authentication_flow_diagram.png

Exigences relatives aux types de comptes

Il s'agit de la cause d'échec la plus fréquente lors des déploiements WiFi WeChat. Vous devez utiliser un compte de service (服务号) WeChat vérifié. Les comptes d'abonnement (订阅号) n'exposent pas les API d'autorisation de page web OAuth 2.0 requises pour l'intégration du Captive Portal. Le tableau ci-dessous résume les principales différences :

Fonctionnalité Compte de service (服务号) Compte d'abonnement (订阅号)
Connexion WiFi OAuth 2.0 Oui Non
Niveau d'accès API Complet Limité
Messages push par mois 4 30
Apparaît comme un contact Oui Regroupé dans un dossier
Intégration WeChat Pay Oui Non
Vérification requise Oui Oui

L'obtention d'un compte de service vérifié nécessite une licence commerciale chinoise ou une procédure de demande spécifique à l'étranger auprès de Tencent, qui implique des frais de vérification annuels de 99 $ et un délai d'examen de deux à quatre semaines.

Le walled garden : la configuration réseau la plus critique

Un walled garden (également appelé liste blanche de pré-authentification) définit les adresses IP et les domaines qu'un appareil peut atteindre avant d'avoir terminé l'authentification sur le Captive Portal. Si les domaines de l'API WeChat ne figurent pas dans le walled garden, l'appareil ne peut pas lancer la liaison OAuth et la connexion échoue de manière invisible.

Au minimum, les domaines suivants doivent être mis sur liste blanche :

  • *.weixin.qq.com
  • *.wechat.com
  • *.wx.qq.com
  • res.wx.qq.com
  • mp.weixin.qq.com
  • Plages d'adresses IP du CDN WeChat (consultez la documentation des plages IP publiée par Tencent, car celles-ci changent périodiquement)

Sur Cisco Meraki, configurez ces éléments sous Wireless > Access Control > Walled Garden. Sur HPE Aruba, utilisez la liste blanche du Captive Portal Profile. Sur Juniper Mist, configurez la liste des domaines autorisés du Guest Portal.

Intégration RADIUS et application des politiques

Purple agit comme un proxy RADIUS dans cette architecture. Après un échange OAuth WeChat réussi, Purple envoie un message RADIUS Access-Accept au contrôleur sans fil de l'établissement. Le message Access-Accept peut acheminer des attributs RADIUS standard pour appliquer des politiques par utilisateur :

  • Tunnel-Type et Tunnel-Private-Group-ID pour l'attribution de VLAN (isolation du trafic invité des réseaux d'entreprise, conformément aux meilleures pratiques de segmentation IEEE 802.1X)
  • Session-Timeout pour une déconnexion automatique après une période définie
  • WISPr-Bandwidth-Max-Up et WISPr-Bandwidth-Max-Down pour la limitation de la bande passante

Cette architecture est indépendante du matériel. Purple s'intègre à Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet sans nécessiter de modifications de firmware ni de serveurs sur site supplémentaires.

venue_deployment_overview.png

Guide de mise en œuvre

Étape 1 : Configurer le compte développeur WeChat

Connectez-vous à la plateforme de compte officiel WeChat à l'adresse mp.weixin.qq.com. Accédez à Settings > Security Centre > Webpage Authorisation. Activez l'autorisation de page web OAuth 2.0 et ajoutez le domaine de votre Captive Portal en tant que domaine de rappel autorisé (par exemple, wifi.yourvenue.com). WeChat ne renverra les codes d'autorisation qu'aux domaines enregistrés ici - une non-correspondance entraînera un échec silencieux.

Récupérez votre AppID et votre AppSecret depuis le panneau Development > Basic Configuration. Stockez l'AppSecret de manière sécurisée ; traitez-le comme une clé privée.

Étape 2 : Configurer Purple

Dans le portail Purple, accédez à Authentication > Social Login et activez WeChat. Saisissez l'AppID et l'AppSecret. Concevez la page d'accueil du Captive Portal à l'aide de l'éditeur glisser-déposer de Purple. Faites du bouton de connexion WeChat l'appel à l'action principal au-dessus de la ligne de flottaison.

Configurez la redirection post-authentification. Les options incluent :

  • La page de suivi du compte officiel WeChat de l'établissement (recommandée pour l'engagement)
  • Une page de destination promotionnelle hébergée au sein d'un mini-programme WeChat
  • Une page d'enquête utilisant les outils WiFi Analytics de Purple
  • Une page d'inscription à un programme de fidélité

Activez la mise en cache des adresses MAC sous Authentication > Return Visitor Settings. Définissez la durée du cache pour qu'elle corresponde à votre fréquence de visite typique (sept jours pour le commerce de détail, 30 jours pour l'hôtellerie). Les visiteurs récurrents se connecteront automatiquement sans voir à nouveau le portail, tandis que leur visite sera toujours enregistrée dans le tableau de bord analytique.

Étape 3 : Configurer le matériel réseau

Sur votre contrôleur sans fil, configurez le SSID invité pour utiliser un Captive Portal externe. Saisissez l'URL du portail Purple comme URL de la page d'accueil. Ajoutez les domaines WeChat au walled garden. Définissez les adresses IP du serveur RADIUS et les secrets partagés fournis par Purple.

Testez l'ensemble du flux depuis un appareil mobile avant la mise en production. Plus précisément :

  1. Connectez-vous au SSID invité.
  2. Confirmez que le Captive Portal se charge dans le mini-navigateur du Captive Portal Assistant (CPA).
  3. Appuyez sur le bouton de connexion WeChat et confirmez que l'application WeChat s'ouvre.
  4. Autorisez la connexion et confirmez que l'accès à Internet est accordé.
  5. Confirmez que la redirection post-connexion se déclenche correctement.

Bonnes pratiques

Optimisez le walled garden. Un walled garden mal configuré est la cause numéro un des échecs de connexion WeChat en production. Testez-le avant le lancement et re-testez-le après toute mise à jour du firmware réseau, car certains contrôleurs réinitialisent les entrées de la liste blanche lors des mises à niveau.

Stimulez l'engagement post-connexion. Le moment qui suit l'authentification est le point d'attention le plus élevé dans le parcours WiFi invité. Redirigez les utilisateurs vers la page de suivi de votre compte officiel. Un invité qui suit votre compte est joignable via des notifications push bien après avoir quitté l'établissement.

Implémentez la mise en cache MAC pour les visiteurs récurrents. Exiger une authentification répétée à chaque visite dégrade l'expérience. La mise en cache MAC élimine les frictions pour les clients récurrents tout en enregistrant la visite pour les analyses. Consultez les WiFi Analytics de Purple pour les rapports sur le temps de séjour et les visites récurrentes.

Appliquez la minimisation des données. Ne demandez que les champs de profil WeChat que votre CRM utilise réellement. Demander des autorisations inutiles augmente le taux d'abandon d'autorisation et complexifie la conformité au GDPR. Pour la plupart des établissements, l'OpenID, le pseudo et l'avatar suffisent pour la personnalisation.

Segmentez le trafic invité via un VLAN. Attribuez les invités authentifiés par WeChat à un VLAN dédié, isolé de votre réseau d'entreprise ou de point de vente. Cela répond aux exigences de segmentation réseau PCI DSS et limite la zone d'impact de tout incident de sécurité côté invité. Pour une analyse complète de l'architecture de sécurité WiFi, consultez notre guide de sécurité WiFi pour les entreprises .

Respectez le GDPR et la PIPL. Affichez une notice de confidentialité claire sur la page d'accueil avant que l'utilisateur n'initie le flux OAuth WeChat. La notice doit identifier le responsable du traitement, lister les catégories de données collectées auprès de WeChat, indiquer la base légale du traitement et fournir un lien vers la politique de confidentialité complète. Pour des conseils détaillés, consultez notre guide de conformité GDPR pour le WiFi .

Dépannage et atténuation des risques

Non-correspondance de la redirection OAuth

Si l'URL de rappel enregistrée dans la console développeur WeChat ne correspond pas exactement à l'URL utilisée par Purple pour la redirection, WeChat renvoie un code d'erreur et bloque l'autorisation. Vérifiez les non-correspondances de protocoles (HTTP vs HTTPS), les barres obliques de fin et les différences de sous-domaines. Le domaine enregistré doit correspondre exactement à la chaîne de caractères.

Interférence du Captive Portal Assistant (CPA)

Les systèmes d'exploitation mobiles utilisent un mini-navigateur CPA pour détecter et gérer les réseaux captifs. Ces mini-navigateurs manquent souvent de la capacité d'ouvrir des applications natives, ce qui interrompt l'appel de l'application WeChat dans le flux OAuth. Les options d'atténuation incluent :

  • L'implémentation d'une redirection JavaScript qui détecte l'environnement CPA et ouvre le navigateur complet du système avant d'initier le flux OAuth.
  • L'affichage d'une instruction claire sur la page d'accueil indiquant aux utilisateurs d'ouvrir la page dans leur navigateur complet si le bouton WeChat ne répond pas.

Expiration des jetons et sessions obsolètes

Les jetons d'accès WeChat expirent après deux heures. Si votre plateforme ne rafraîchit pas le jeton, la fiche CRM de l'utilisateur cessera de se mettre à jour après la session initiale. Configurez les paramètres de rafraîchissement des jetons de Purple pour maintenir les jetons actifs pendant toute la durée du séjour de l'invité.

Risque géopolitique et réglementaire

WeChat est soumis à la réglementation du gouvernement chinois et aux politiques de plateforme de Tencent. L'accès à l'API peut être suspendu ou modifié sans préavis. Atténuez ce risque en veillant à ce que votre Captive Portal prenne en charge plusieurs méthodes d'authentification (e-mail, SMS, autres connexions sociales) afin qu'une panne de l'API WeChat ne mette pas hors ligne l'ensemble de votre WiFi invité. Le portail multi-méthodes de Purple prend en charge nativement cette architecture de secours.

ROI et impact commercial

Le déploiement de l'authentification WiFi WeChat génère des retours mesurables sur trois vecteurs.

Augmentation du taux de capture de données. La connexion socialeréduit la friction liée au remplissage des formulaires. Les établissements utilisant les options de connexion sociale de Purple signalent des taux de complétion d'authentification supérieurs de 20 à 30 % à ceux des portails équivalents par e-mail uniquement (données internes de Purple, 2024). Pour un établissement traitant 500 connexions WiFi invités par jour, une hausse de 25 % représente 125 profils vérifiés supplémentaires capturés quotidiennement.

Croissance du nombre d'abonnés au Compte Officiel. Rediriger les utilisateurs authentifiés vers la page d'abonnement du Compte Officiel convertit le passage éphémère en une audience digitale accessible. Un hôtel accueillant 200 invités authentifiés via WeChat par jour, avec un taux d'abonnement de 40 %, gagne 80 nouveaux abonnés au Compte Officiel par jour — des abonnés qui peuvent recevoir des notifications push ciblées sur des offres de séjour, des mises à jour de programmes de fidélité et des promotions saisonnières.

Visibilité opérationnelle. La plateforme WiFi Analytics de Purple associe les sessions authentifiées via WeChat au temps de séjour, à la fréquence des visites et aux données de déplacement par zone. Cela fournit aux directeurs d'exploitation des établissements les données nécessaires pour optimiser le personnel, l'agencement et le calendrier des promotions. Pour les établissements du secteur de l' hôtellerie , ces données s'intègrent directement aux systèmes PMS pour enrichir les profils des clients.

Pour les environnements de commerce de détail , la combinaison de l'authentification WeChat et de la plateforme d'analyse de Purple reproduit la richesse des données du e-commerce dans un contexte de magasin physique — une capacité qui devient de plus en plus précieuse à mesure que la disparition des cookies tiers réduit l'efficacité du reciblage numérique.

Pour des conseils connexes, consultez notre guide de conformité WiFi GDPR et notre guide de sécurité WiFi d'entreprise . Pour découvrir comment Purple se déploie dans des secteurs spécifiques, consultez nos pages pour l' hôtellerie , le commerce de détail , la santé et les transports .

Définitions clés

OAuth 2.0

Un protocole d'autorisation standard de l'industrie qui permet à un utilisateur d'accorder à une application tierce l'accès à ses données de compte sur un autre service sans partager son mot de passe. Dans l'authentification WiFi WeChat, le Captive Portal est l'application tierce et WeChat est le fournisseur d'identité.

Le mécanisme sous-jacent pour toutes les connexions WiFi sociales. Les équipes informatiques y sont confrontées lors de la configuration de l'AppID, de l'AppSecret et de l'URI de redirection dans la console développeur WeChat et la plateforme Purple.

Captive portal

Une page web qui intercepte le trafic réseau d'un appareil et exige que l'utilisateur s'authentifie ou accepte les conditions avant de lui accorder l'accès à Internet. Il fonctionne en redirigeant toutes les requêtes HTTP vers l'URL du portail jusqu'à ce que l'authentification soit terminée.

Le composant orienté utilisateur du système de connexion WiFi WeChat. Purple héberge et gère le Captive Portal en tant que surcouche cloud au-dessus du matériel existant du site.

Walled garden

Une liste blanche de pré-authentification d'adresses IP et de domaines qu'un appareil peut atteindre avant de finaliser la connexion au Captive Portal. Requis pour permettre à l'appareil de communiquer avec les serveurs d'authentification de WeChat pendant le flux OAuth.

L'élément le plus fréquemment mal configuré dans les déploiements WiFi WeChat. Doit être configuré au niveau du SSID sur le contrôleur sans fil.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau fournissant une authentification, une autorisation et une comptabilisation centralisées pour l'accès au réseau. Après un échange OAuth WeChat réussi, Purple envoie un message RADIUS Access-Accept au point d'accès pour accorder l'accès à Internet.

Le protocole qui connecte la plateforme d'identité Purple au matériel réseau du site. Les équipes informatiques configurent les adresses IP du serveur RADIUS et les secrets partagés dans le contrôleur sans fil.

Compte de service WeChat (服务号)

Une catégorie de compte officiel WeChat conçue pour les entreprises, offrant un accès complet aux API, y compris l'autorisation de page web OAuth 2.0. Apparaît comme un contact dans la liste de discussion de l'utilisateur. Nécessite un enregistrement d'entreprise en Chine ou une vérification à l'étranger.

Le type de compte obligatoire pour la connexion WiFi WeChat. Les comptes d'abonnement ne peuvent pas être utilisés à cette fin.

OpenID

Un identifiant unique attribué par WeChat à un utilisateur spécifique pour un compte officiel spécifique. Deux comptes officiels différents recevront des OpenID différents pour le même utilisateur.

La clé primaire utilisée par le CRM pour identifier et suivre les utilisateurs individuels à travers les sessions WiFi.

Unionid

Un identifiant unique attribué par WeChat à un utilisateur spécifique à travers tous les comptes officiels et mini-programmes enregistrés sous le même compte de plateforme ouverte WeChat. Permet la reconnaissance des utilisateurs multi-produits.

Pertinent pour les marques disposant de plusieurs points de contact WeChat (par exemple, une chaîne de vente au détail disposant à la fois d'un portail WiFi et d'un mini-programme d'achat) qui souhaitent unifier le profil de l'utilisateur à travers toutes les interactions.

Mise en cache des adresses MAC

Une fonctionnalité réseau qui stocke l'identifiant matériel unique d'un appareil (adresse MAC) après l'authentification initiale, permettant au réseau d'accorder automatiquement l'accès lors des connexions ultérieures sans présenter à nouveau le Captive Portal.

Utilisé pour améliorer l'expérience des visiteurs de retour. Purple enregistre la visite de retour pour les analyses même lorsque le portail ne s'affiche pas.

Captive Portal Assistant (CPA)

Le mini-navigateur lancé automatiquement par iOS et Android lorsqu'ils détectent un réseau nécessitant une authentification par Captive Portal. Les CPA ont des fonctionnalités limitées et peuvent ne pas prendre en charge les appels d'applications natives requis pour le flux OAuth WeChat.

Les équipes informatiques doivent tester le flux de connexion WeChat spécifiquement dans l'environnement CPA et implémenter une détection JavaScript pour rediriger vers le navigateur système complet si nécessaire.

VLAN

Virtual Local Area Network. Un segment de réseau logique qui isole le trafic des autres segments sur la même infrastructure physique. Utilisé pour séparer le trafic WiFi invité des réseaux d'entreprise ou de point de vente (POS).

Les attributs RADIUS renvoyés par Purple peuvent affecter les invités authentifiés par WeChat à un VLAN spécifique, répondant ainsi aux exigences de segmentation réseau PCI DSS.

Exemples concrets

Une marque de vente au détail de luxe à Londres souhaite offrir un WiFi fluide aux touristes chinois tout en augmentant le nombre d'abonnés sur son compte officiel WeChat. Elle utilise actuellement des points d'accès Cisco Meraki et un portail standard de capture d'e-mails. Son équipe informatique dispose de deux semaines pour le déploiement avant une campagne majeure pour le Nouvel An chinois.

Semaine 1 : Enregistrer et vérifier un compte de service WeChat s'il n'est pas déjà en place (prévoir deux à quatre semaines pour l'approbation de Tencent, cette étape aurait donc dû commencer plus tôt - sinon, utiliser une entité tierce chinoise vérifiée comme mesure provisoire). Configurer la console développeur WeChat avec le domaine de rappel correspondant à l'URL du portail Purple. Dans la plateforme Purple, activer la connexion sociale WeChat, saisir l'AppID et l'AppSecret, et concevoir la splash page avec WeChat comme option de connexion principale. Configurer la redirection post-authentification vers la page d'abonnement au compte officiel WeChat de la marque. Semaine 2 : Dans le tableau de bord Meraki, mettre à jour le SSID invité pour qu'il pointe vers l'URL du portail Purple. Ajouter tous les domaines de l'API WeChat au walled garden Meraki sous Wireless > Access Control. Configurer les détails du serveur RADIUS. Tester le flux complet de bout en bout depuis un appareil iOS et Android. Activer la mise en cache MAC pour la reconnaissance des visiteurs de retour sous 30 jours. Lancer la mise en ligne.

Commentaire de l'examinateur : Cette approche utilise le matériel Meraki existant sans aucune modification du firmware. L'élément critique du chemin critique est la vérification du compte WeChat - celle-ci doit être lancée bien avant la date limite de toute campagne. La redirection post-connexion vers la page d'abonnement au compte officiel est la décision de configuration à plus forte valeur ajoutée, car elle convertit une connexion WiFi unique en un canal marketing à long terme.

Un stade d'une capacité de 15 000 personnes accueille une série d'événements internationaux avec un nombre important de participants sinophones. Le directeur informatique signale que 35 % des visiteurs abandonnent le formulaire de connexion WiFi avant de le remplir. Le réseau fonctionne avec des points d'accès HPE Aruba gérés via Aruba Central.

Déployer le Captive Portal de Purple avec WeChat comme option principale de connexion sociale, aux côtés des options de secours par e-mail et SMS. Configurer le profil du Captive Portal d'Aruba Central pour rediriger vers Purple et ajouter les domaines WeChat à la liste autorisée. Implémenter un script de détection CPA en JavaScript sur la splash page pour forcer le flux OAuth dans le navigateur système natif, en contournant le mini-navigateur CPA d'Aruba. Configurer les attributs RADIUS pour affecter les fans authentifiés à un VLAN invité dédié, isolé du réseau opérationnel du stade. Définir le délai d'expiration de la session à quatre heures pour couvrir la durée typique d'un événement sans nécessiter de réauthentification. Après l'authentification, rediriger les fans vers un mini-programme WeChat hébergeant le programme de l'événement, les scores en direct et un service de commande de nourriture.

Commentaire de l'examinateur : Le script de détection CPA est le différenciateur technique clé ici. Sans lui, l'appel de l'application WeChat échoue dans le mini-navigateur et les utilisateurs font face à une expérience dysfonctionnelle. La redirection vers le mini-programme maximise l'engagement post-authentification en offrant aux fans une valeur immédiate et pertinente - ce qui augmente également la probabilité qu'ils s'abonnent au compte officiel du site.

Questions d'entraînement

Q1. La nouvelle connexion WiFi WeChat de votre site échoue. Les invités appuient sur le bouton WeChat de la splash page, mais la page expire avant que l'application WeChat ne s'ouvre. Le tableau de bord Cisco Meraki indique que le SSID est en ligne et que l'URL du portail Purple est correctement configurée. Quelle est la cause la plus probable et comment la résoudre ?

Conseil : Considérez l'accès réseau dont dispose l'appareil avant de finaliser l'authentification.

Voir la réponse type

Le walled garden sur le SSID Meraki est mal configuré. L'appareil ne peut pas atteindre les domaines de l'API WeChat avant l'authentification, de sorte que la liaison OAuth ne peut pas démarrer. Solution : accédez à Wireless > Access Control dans le tableau de bord Meraki, localisez la section Walled Garden et ajoutez les domaines WeChat requis, notamment *.weixin.qq.com, *.wechat.com et *.wx.qq.com. Testez en tentant à nouveau le flux de connexion depuis un appareil qui ne s'est jamais connecté au SSID auparavant.

Q2. Un directeur marketing souhaite utiliser son compte d'abonnement WeChat (订阅号) existant pour activer la connexion WiFi car cela permet de publier des articles quotidiens aux abonnés. Il vous demande de configurer l'intégration. Que lui répondez-vous ?

Conseil : Examinez les niveaux d'accès API pour les différents types de comptes WeChat.

Voir la réponse type

Informez-le qu'un compte d'abonnement ne peut pas être utilisé pour l'authentification WiFi. Les API d'autorisation de page web OAuth 2.0 requises pour l'intégration du Captive Portal ne sont disponibles que pour les comptes de service (服务号) vérifiés. Il devra enregistrer un compte de service. Cela nécessite une licence commerciale chinoise ou une demande à l'étranger via le processus spécial de Tencent, qui prend deux à quatre semaines et coûte 99 $ par an. Le compte d'abonnement peut rester actif pour la publication de contenu ; les deux types de comptes répondent à des objectifs différents et peuvent coexister.

Q3. Après un déploiement réussi du WiFi WeChat, l'équipe informatique constate que les utilisateurs qui se sont authentifiés il y a trois semaines n'apparaissent plus dans le CRM avec des données de visite mises à jour, même s'ils se connectent au réseau. Quelle est la cause probable ?

Conseil : Considérez les paramètres de gestion de session configurés dans Purple et la durée du cache MAC.

Voir la réponse type

La durée du cache MAC est probablement définie sur une valeur inférieure à trois semaines (par exemple, 14 jours), de sorte que les utilisateurs de retour se voient accorder l'accès via le cache MAC sans déclencher un nouvel événement d'authentification ou une mise à jour du CRM. Alternativement, le jeton d'accès WeChat pour ces utilisateurs a expiré et la plateforme ne le rafraîchit pas. Solution : prolongez la durée du cache MAC à 30 jours dans les paramètres des visiteurs de retour de Purple, et assurez-vous que la configuration de rafraîchissement du jeton est active. Confirmez également que Purple enregistre les visites mises en cache par MAC comme des événements de visite de retour dans le tableau de bord analytique, même lorsque le portail ne s'affiche pas.

Q4. Votre site opère à la fois au Royaume-Uni et en Chine continentale. Vous souhaitez déployer un système d'authentification WiFi WeChat unifié. À quelles obligations de conformité devez-vous répondre avant la mise en ligne ?

Conseil : Deux régimes de confidentialité distincts s'appliquent aux deux zones géographiques.

Voir la réponse type

Vous devez vous conformer à la fois au GDPR (applicable aux utilisateurs au Royaume-Uni et dans l'UE) et à la loi chinoise sur la protection des informations personnelles (PIPL, applicable aux utilisateurs en Chine continentale). Les exigences clés comprennent : afficher une politique de confidentialité claire sur la splash page avant de lancer le flux OAuth, identifier le responsable du traitement des données et lister les catégories de données collectées auprès de WeChat, indiquer la base légale du traitement sous chaque régime (intérêts légitimes ou consentement sous le GDPR ; consentement sous la PIPL), fournir un mécanisme permettant aux utilisateurs de retirer leur consentement et de demander la suppression, et s'assurer que des mécanismes de transfert de données sont en place si les données de profil WeChat circulent entre les juridictions. Consultez le guide de conformité GDPR de Purple et votre conseiller juridique pour les exigences spécifiques à chaque juridiction.

Continuer la lecture de cette série

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Ce guide explique comment contourner le matériel Starlink natif et intégrer un Captive Portal géré dans le cloud à l'aide d'équipements de routage d'entreprise. Vous apprendrez à surmonter la limitation du CGNAT, à appliquer la segmentation VLAN, à gérer les contraintes de bande passante par satellite et à garantir la conformité réglementaire.

Lire le guide →

Bonnes pratiques du Captive Portal : conception pour une conversion élevée et la conformité

Ce guide technique offre aux responsables informatiques, architectes réseau et directeurs d'exploitation de sites un plan complet pour déployer des captive portals équilibrant sécurité réseau et taux de conversion élevé. Il couvre l'ensemble de l'architecture, de la segmentation VLAN et l'authentification RADIUS à la conception de consentements conformes au GDPR et à la sélection des méthodes d'authentification. Issu de l'expérience opérationnelle de Purple sur plus de 80 000 sites et 440 millions de connexions en 2024, chaque recommandation est ancrée dans des données de déploiement réelles.

Lire le guide →

Comment optimiser les Captive Portals pour une sécurité réseau maximale et une conversion utilisateur optimale

Ce guide fournit un plan technique complet pour optimiser les Captive Portals au sein des entreprises, couvrant l'architecture de segmentation réseau, la sélection des méthodes d'authentification, la conception de formulaires de consentement conformes au GDPR et l'optimisation de la conversion. Il s'adresse aux responsables informatiques, architectes réseau et CTO d'hôtels, de chaînes de magasins, de stades et d'organisations du secteur public qui doivent concilier la sécurité réseau et la collecte de données de première partie. Purple gère l'infrastructure de Captive Portals de plus de 80 000 sites avec 440 millions de connexions en 2024, et les cadres présentés ici reflètent cette expérience opérationnelle.

Lire le guide →