Passer au contenu principal
Français

Le guide ultime de l'architecture et de l'authentification OpenRoaming

Ce guide fournit une référence technique faisant autorité sur l'architecture WBA OpenRoaming, couvrant les bases de Passpoint, la fédération RADIUS, la sécurité RadSec mTLS, ainsi qu'un guide de déploiement étape par étape pour les sites d'entreprises. Il apporte aux responsables informatiques, aux architectes réseau et aux exploitants de sites les connaissances nécessaires pour remplacer les Captive Portals par une connectivité Wi-Fi fluide, sécurisée et conforme, offrant un retour sur investissement mesurable.

📖 7 min de lecture📝 1,706 mots🔧 2 exemples concrets3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast
[00:00:00] Host: Bienvenue dans ce briefing technique de Purple. Je suis votre hôte, et aujourd'hui nous plongeons au cœur d'une technologie qui réarchitecture fondamentalement le fonctionnement du Wi-Fi d'entreprise : WBA OpenRoaming. Si vous êtes responsable informatique, architecte réseau ou directeur de l'exploitation d'un site, vous connaissez la complexité du Captive Portal traditionnel. Les connexions manuelles, les tickets de support, les clients frustrés. Aujourd'hui, nous allons voir comment OpenRoaming remplace ces frictions par une expérience de roaming sécurisée, similaire à celle du réseau cellulaire. Entrons dans l'architecture. [00:01:00] Host: Pour comprendre OpenRoaming, nous devons analyser ses mécanismes sous-jacents. Il repose sur les bases de Passpoint, ou Hotspot 2.0, qui s'appuie sur la norme IEEE 802.11u. Cela permet à un appareil — votre smartphone ou votre ordinateur portable — d'interroger silencieusement le point d'accès à l'aide du protocole ANQP (Access Network Query Protocol). L'appareil demande : "Prenez-vous en charge mes identifiants ?" en recherchant des identifiants d'organisation de consortium de roaming spécifiques, ou RCOI. S'il y a correspondance, l'appareil se connecte automatiquement. Pas de page de connexion. Pas d'intervention de l'utilisateur. C'est, tout simplement, l'expérience du roaming cellulaire enfin transposée au Wi-Fi. [00:02:30] Host: La Wireless Broadband Alliance, ou WBA, gère la fédération mondiale qui rend cela possible. Considérez cela comme un cadre de confiance. D'un côté, vous avez les fournisseurs d'identité — les organisations qui délivrent des identifiants aux utilisateurs. Il peut s'agir d'un opérateur mobile, d'un service informatique d'entreprise ou d'un programme de fidélité. De l'autre côté, vous avez les fournisseurs de réseaux d'accès — les sites qui exploitent l'infrastructure Wi-Fi physique. Hôtels, stades, chaînes de magasins, aéroports. La fédération WBA est le ciment qui les relie, permettant à un utilisateur authentifié par son opérateur mobile de se connecter de manière transparente dans un hôtel où il n'est encore jamais allé. [00:04:00] Host: Mais comment le réseau du site vérifie-t-il réellement ces identifiants de manière sécurisée, à travers des milliers de fournisseurs différents dans le monde ? C'est là que la fédération RADIUS intervient. OpenRoaming résout le problème d'évolutivité en utilisant la découverte DNS dynamique, définie dans la RFC 7585. Lorsqu'une demande d'authentification parvient à votre proxy RADIUS, celui-ci effectue une recherche DNS NAPTR sur le domaine de l'utilisateur pour trouver de manière dynamique le serveur RadSec du fournisseur d'identité. Il établit ensuite une connexion RadSec — c'est-à-dire RADIUS sur TLS, défini dans la RFC 6614 — sécurisée par un TLS mutuel utilisant des certificats émis par l'infrastructure à clés publiques (PKI) de la WBA. Cela signifie que n'importe quelles parties de la fédération peuvent établir une connexion chiffrée et fiable sans s'être jamais rencontrées auparavant. [00:05:30] Host : Parlons sécurité et conformité, car c'est là que l'OpenRoaming apporte une mise à niveau véritablement transformatrice. Avec un Captive Portal, votre trafic n'est pas chiffré sur les ondes tant que vous n'avez pas fini de vous connecter. L'OpenRoaming utilise l'authentification 802.1X et le WPA3-Enterprise. Vous bénéficiez d'un chiffrement dès le tout premier paquet. De plus, l'authentification mutuelle par certificat empêche les attaques de type « Evil Twin », où un point d'accès malveillant usurpe le nom de votre réseau. Comme l'appareil vérifie le certificat du réseau avant de se connecter, un réseau usurpé ne peut tout simplement pas passer cette vérification. [00:07:00] Host : Du point de vue du GDPR, l'OpenRoaming utilise des identifiants pseudonymisés au lieu de données PII brutes. Vous savez que l'utilisateur est authentifié et légitime, mais vous minimisez votre empreinte de données. Pour la conformité PCI DSS dans les environnements de vente au détail, vous imposez l'attribution dynamique de VLAN via votre serveur RADIUS pour basculer les utilisateurs invités dans un segment de réseau isolé, les maintenant complètement séparés de vos systèmes de point de vente. [00:08:00] Host : Passons maintenant aux pièges de mise en œuvre. Premièrement, vérifiez que votre matériel prend en charge Passpoint. Deuxièmement, la gestion du cycle de vie des certificats est essentielle — si vos certificats WBA PKI expirent, RadSec échoue silencieusement. Configurez une surveillance avec une alerte d'au moins 60 jours. Troisièmement, assurez-vous que l'infrastructure DNS est extrêmement solide, car la découverte dynamique dépend entièrement d'une résolution fiable des enregistrements NAPTR et SRV. [00:08:45] Host : Questions-réponses rapides. Puis-je toujours contrôler la bande passante par utilisateur ? Oui — l'authentification est fédérée, mais l'autorisation est locale. Votre serveur RADIUS applique des profils QoS via des attributs spécifiques au fournisseur (VSA). Cela fonctionne-t-il pour les appareils IoT ? Oui — les appareils sans écran configurés avec un profil Passpoint via MDM se connectent automatiquement. Quel est le ROI ? Les sites signalent des réductions de 70 à 80 % des tickets d'assistance Wi-Fi. Le déploiement du RAI Amsterdam a vu 18 000 participants consommer 77 téraoctets de données en quatre jours. [00:09:45] Host : En résumé : l'OpenRoaming est la norme moderne pour une connectivité invité sécurisée. Déployez le RCOI sans règlement, auditez vos points d'accès pour la prise en charge de Passpoint, évaluez la compatibilité RadSec de votre infrastructure RADIUS et engagez-vous avec un courtier WBA. Merci d'avoir suivi ce briefing technique Purple. À la prochaine, gardez vos réseaux sécurisés et vos connexions fluides.

header_image.png

Synthèse

Le modèle traditionnel de Captive Portal pour le Wi-Fi invité est obsolète. Depuis des décennies, les établissements s'appuient sur des écrans de connexion manuels qui frustrent les utilisateurs, offrent une sécurité médiocre et génèrent d'importants coûts de support. WBA OpenRoaming représente un changement architectural fondamental, remplaçant l'authentification manuelle par une fédération mondiale de connexions sécurisées et automatiques basées sur la technologie Passpoint (Hotspot 2.0) et l' 802.1X Authentication: Securing Network Access on Modern Devices .

Pour les responsables informatiques et les architectes réseau, le déploiement d'OpenRoaming n'est plus seulement une question d'amélioration de l'expérience utilisateur — c'est un impératif stratégique pour renforcer la sécurité du réseau, réduire les tickets de support et générer un ROI mesurable grâce à une meilleure utilisation du réseau. Ce guide fournit une référence technique complète pour implémenter l'architecture OpenRoaming, naviguer dans la fédération RADIUS et garantir la conformité avec les normes de sécurité modernes dans les environnements d'entreprise, de Retail et de Hospitality .

Analyse technique approfondie : L'architecture OpenRoaming

L'architecture OpenRoaming fonctionne via une fédération de confiance gérée par la Wireless Broadband Alliance (WBA). Elle comble le fossé entre les fournisseurs d'identité (IDP) qui émettent les identifiants et les fournisseurs de réseaux d'accès (ANP) qui exploitent l'infrastructure Wi-Fi.

Les fondations Passpoint

Au cœur d'OpenRoaming se trouve la norme Passpoint de la Wi-Fi Alliance (basée sur l'IEEE 802.11u). Passpoint permet aux appareils de découvrir et de s'authentifier automatiquement sur les réseaux Wi-Fi. Lorsqu'un appareil pénètre dans un espace compatible OpenRoaming, il utilise le protocole ANQP (Access Network Query Protocol) pour interroger le point d'accès sur les identifiants d'organisation de consortium d'itinérance (RCOI) pris en charge avant de s'associer. Cette découverte pré-association est entièrement invisible pour l'utilisateur — l'appareil détermine silencieusement s'il détient des identifiants valides pour le réseau avant d'initier toute tentative de connexion.

La fédération RADIUS et RadSec

L'itinérance Wi-Fi traditionnelle des opérateurs repose sur des tables de routage RADIUS statiques alimentées par des accords bilatéraux, sécurisées via des tunnels IPSec. Ce modèle n'est pas évolutif à l'échelle d'une fédération mondiale et ouverte. OpenRoaming résout ce problème en utilisant la découverte dynamique de pairs basée sur le DNS (RFC 7585) et RadSec (RADIUS sur TLS, RFC 6614).

Lorsqu'un point d'accès reçoit une demande d'authentification, le proxy RADIUS local effectue une recherche DNS NAPTR sur le domaine de l'utilisateur afin de découvrir dynamiquement le serveur RadSec de l'IDP. La signalisation est sécurisée par TLS mutuel (mTLS) avec des certificats émis par l'infrastructure à clés publiques (PKI) à quatre niveaux de la WBA, garantissant une sécurité de bout en bout entre le réseau d'accès et le fournisseur d'identité sans nécessiter d'accords bilatéraux préalables.

Identifiants d'organisation de consortium d'itinérance (RCOI)

OpenRoaming utilise des RCOI spécifiques pour diffuser les contrôles de politique et les modèles de règlement. Ceux-ci sont annoncés dans la balise 802.11 et via ANQP :

Valeur RCOI Modèle Description
5A-03-BA Sans règlement L'ANP fournit la connectivité sans frais pour l'IDP. Modèle dominant pour les entreprises, le commerce de détail et l'hôtellerie.
BA-A2-D0 Avec règlement L'ANP attend une compensation financière. Utilisé pour les scénarios de connectivité premium.

Les 12 bits les plus significatifs du RCOI peuvent également être utilisés pour définir les politiques de Groupe d'accès fermé (CAG), permettant aux ANP et aux IDP de négocier des niveaux de qualité de service, des niveaux de vérification d'identité et des exigences de confidentialité à un niveau granulaire.

architecture_overview.png

Guide d'implémentation

Le déploiement d'OpenRoaming nécessite une coordination entre le matériel réseau, l'infrastructure RADIUS et la gestion des identités. Pour un aperçu complet des exigences matérielles, consultez notre guide sur la Définition des points d'accès sans fil : Votre guide ultime 2026 .

Étape 1 : Évaluation de la préparation de l'infrastructure

Vérifiez que vos points d'accès et contrôleurs LAN sans fil prennent en charge Passpoint/Hotspot 2.0 (IEEE 802.11u). La plupart des équipements de classe entreprise fabriqués après 2018 intègrent un support natif. Configurez un SSID dédié sécurisé avec WPA3-Enterprise (ou WPA2-Enterprise pour la compatibilité avec les appareils existants). Ce SSID transportera le trafic OpenRoaming et doit être configuré avec les paramètres ANQP appropriés pour diffuser votre RCOI.

Étape 2 : Adhésion à la WBA et engagement d'un courtier

Pour participer à la fédération OpenRoaming, votre organisation doit soit rejoindre directement la WBA, soit faire appel à un courtier agréé par la WBA. Le courtier attribuera à votre organisation un identifiant WBA (WBAID), émettra vos certificats RadSec sous la PKI de la WBA et configurera vos enregistrements DNS NAPTR/SRV pour permettre la découverte dynamique. C'est l'étape fondamentale qui connecte votre infrastructure à la fédération mondiale.

Étape 3 : Configuration de l'infrastructure RADIUS

Votre serveur RADIUS doit être configuré pour acheminer les demandes d'authentification vers la fédération OpenRoaming. Cela implique de configurer RadSec pour établir des connexions mTLS à l'aide de vos certificats délivrés par la WBA. Le proxy RADIUS doit être capable d'effectuer des requêtes DNS NAPTR pour résoudre de manière dynamique les points de terminaison IDP. Les solutions RADIUS basées sur le cloud peuvent simplifier considérablement cette étape en masquant les processus complexes de découverte DNS et de gestion des certificats.

Étape 4 : Stratégie de provisionnement des appareils

L'installation des profils Passpoint sur les appareils des utilisateurs est la principale considération opérationnelle. Quatre approches sont possibles :

Méthode Idéal pour Mécanisme
Push MDM Appareils d'entreprise gérés Intune, Jamf ou Workspace ONE déploient automatiquement les profils
Inscription en ligne (OSU) Déploiements destinés au grand public Auto-enrôlement standardisé via le protocole Passpoint OSU
Provisionnement via application Membres de programmes de fidélité L'application mobile installe le profil Passpoint après l'authentification
Inscription par QR Code Enregistrement dans l'hôtellerie Un QR code physique déclenche l'installation du profil

Étape 5 : Configuration des politiques et segmentation VLAN

Configurez votre contrôleur WLAN pour diffuser les RCOI OpenRoaming appropriés via ANQP. Implémentez l'attribution dynamique de VLAN via les attributs RADIUS pour garantir que le trafic invité est isolé des réseaux d'entreprise. C'est une condition non négociable pour la conformité PCI DSS dans les environnements de Vente au détail et une bonne pratique pour tous les secteurs.

deployment_checklist.png

Bonnes pratiques pour la sécurité et la conformité

OpenRoaming améliore fondamentalement la sécurité du Wi-Fi des établissements, en passant de réseaux ouverts et non chiffrés à une sécurité robuste de niveau entreprise. Pour en savoir plus sur les mécanismes d'authentification sous-jacents, consultez Authentification 802.1X : Sécuriser l'accès réseau sur les appareils modernes .

WPA3-Enterprise et authentification 802.1X

Contrairement aux Captive Portals où le trafic n'est pas chiffré avant la connexion, OpenRoaming utilise le chiffrement WPA3-Enterprise dès le tout premier paquet. Le processus d'authentification mutuelle 802.1X garantit que l'appareil de l'utilisateur vérifie de manière cryptographique l'identité du réseau avant de transmettre des identifiants, éliminant ainsi le risque de points d'accès pirates de type « Evil Twin » — une vulnérabilité que les Captive Portals traditionnels ne peuvent pas résoudre.

Confidentialité et conformité GDPR

Les Captive Portals traditionnels collectent souvent de nombreuses informations personnelles identifiables (PII), ce qui crée d'importantes contraintes de conformité avec le GDPR. OpenRoaming authentifie les utilisateurs via des identifiants pseudonymisés tels que l'attribut Chargeable-User-Identity (CUI). Le site vérifie que l'utilisateur est légitime sans nécessairement ingérer ses PII brutes, ce qui s'aligne sur les principes de minimisation des données du GDPR et réduit la portée de vos obligations en matière de traitement des données.

Segmentation du réseau et PCI DSS

Pour les environnements de Vente au détail , la conformité PCI DSS est essentielle. Le trafic OpenRoaming doit être strictement segmenté des systèmes de point de vente (POS) et des réseaux d'entreprise. Utilisez l'attribution dynamique de VLAN via les attributs RADIUS pour isoler immédiatement le trafic des invités dès l'authentification, en le plaçant dans une instance VRF avec uniquement une route Internet par défaut et des règles de refus explicites pour tout l'espace d'adressage interne RFC 1918.

comparison_chart.png

Études de cas : OpenRoaming en production

Étude de cas 1 : Centre de congrès RAI Amsterdam (Événements & Conférences)

Le centre de congrès RAI Amsterdam, l'un des plus grands sites événementiels d'Europe accueillant 1,5 million de visiteurs par an, a déployé le Wi-Fi 6 avec WBA OpenRoaming en 2023. Lors du Cisco Live Europe, plus de 18 000 participants ont bénéficié d'une connectivité OpenRoaming fluide, consommant plus de 77 téraoctets de données en quatre jours. Les participants ont passé en moyenne six heures sur le réseau. Ce déploiement a démontré comment OpenRoaming élimine les pics de connexion qui se produisent généralement à l'ouverture des portes de l'événement, en répartissant uniformément la charge d'authentification sur l'ensemble de la fédération. Pour les hubs de Transport et les centres de conférence, cette étude de cas constitue la preuve de concept définitive.

Étude de cas 2 : Chaîne de supermarchés Delhaize (Vente au détail)

Le groupe de distribution belge Delhaize a déployé OpenRoaming sur l'ensemble de son réseau de magasins afin d'améliorer la connectivité des clients et de simplifier les opérations. Le déploiement a résolu les problèmes persistants liés aux taux de conversion des Captive Portals — un défi auquel sont confrontés tous les opérateurs de Vente au détail alors que les clients se tournent de plus en plus par défaut vers les données mobiles plutôt que de passer par des écrans de connexion manuels. En permettant une connectivité automatique et sécurisée pour les utilisateurs de l'application de fidélité, Delhaize a augmenté l'adoption du Wi-Fi et amélioré la qualité des données d'analyse en magasin, soutenant ainsi directement les décisions de merchandising et d'optimisation de l'espace. Cela s'inscrit dans la tendance plus large d'intégration de WiFi Analytics avec les plateformes d'intelligence commerciale.

Dépannage et atténuation des risques

Bien qu'OpenRoaming simplifie l'expérience de l'utilisateur final, l'infrastructure sous-jacente est complexe. Les architectes réseau doivent atténuer de manière proactive les modes de défaillance courants :

L'expiration du certificat RadSec est le risque opérationnel le plus critique. Les connexions mTLS reposent sur des certificats WBA PKI. Un certificat expiré interrompra immédiatement le routage de la fédération, provoquant des échecs d'authentification silencieux. Mettez en place une surveillance avec une alerte d'au moins 60 jours à l'avance et un processus de renouvellement défini.

Les échecs de résolution DNS sont la deuxième cause la plus fréquente d'interruptions d'OpenRoaming. La découverte dynamique des pairs dépend d'une résolution DNS fiable des enregistrements NAPTR et SRV. Assurez-vous que vos proxys RADIUS disposent de redirecteurs DNS redondants et performants configurés, et testez la résolution DNS dans le cadre de vos contrôles réguliers de l'état du réseau.

La compatibilité avec les appareils existants doit être planifiée pendant la transition. Alors que les appareils iOS, Android, Windows et macOS modernes prennent nativement en charge Passpoint, ce n'est pas le cas des appareils plus anciens. Maintenez un réseau Guest WiFi traditionnel parallèle pendant la période de transition pour garantir une couverture universelle.

Une mauvaise configuration du proxy RADIUS peut entraîner des échecs de routage basés sur le domaine. Assurez-vous que votre proxy gère correctement le domaine EAP-Identity et que vos enregistrements DNS NAPTR sont correctement formatés pour la découverte RFC 7585. Testez avec plusieurs domaines IDP avant la mise en service.

ROI et impact commercial

L'intérêt commercial d'OpenRoaming va bien au-delà de l'élégance technique. Les exploitants de sites peuvent s'attendre à des retours mesurables sur plusieurs aspects :

Métrique Résultat typique Source
Réduction des tickets de support Wi-Fi Diminution de 70 à 80 % Rapports de déploiement WBA
Augmentation du taux d'adoption du Wi-Fi Augmentation de 40 à 50 % Données de déploiement WBA dans les aéroports
Consommation de données par utilisateur Nettement plus élevée par rapport au Captive Portal Étude de cas RAI Amsterdam
Risque de conformité PII Sensiblement réduit Modèle d'ID pseudonyme GDPR

En adoptant OpenRoaming, les établissements proposent les Modern Hospitality WiFi Solutions Your Guests Deserve , transformant le Wi-Fi d'un service frustrant en un facilitateur invisible et fluide de l'expérience numérique. L'intégration avec les plateformes de WiFi Analytics gagne en valeur, car des taux d'association plus élevés génèrent des ensembles de données plus riches et plus représentatifs. Pour les organisations qui étudient la modernisation globale de leur réseau, l'article The Core SD WAN Benefits for Modern Businesses apporte un éclairage complémentaire sur la manière dont OpenRoaming s'intègre dans une architecture réseau moderne définie par logiciel.

Le secteur de la Santé a également beaucoup à y gagner, OpenRoaming permettant une connectivité sécurisée et automatique pour les cliniciens de passage et les appareils IoT médicaux — sans les risques de conformité des réseaux invités ouverts ni la charge opérationnelle de la gestion des Captive Portals par appareil.

Définitions clés

Passpoint (Hotspot 2.0)

Un programme de certification de la Wi-Fi Alliance basé sur la norme IEEE 802.11u qui permet aux appareils de découvrir et de s'authentifier automatiquement auprès des réseaux Wi-Fi sans intervention de l'utilisateur, en utilisant des identifiants pré-configurés.

La technologie fondamentale qui rend possible l'expérience fluide d'OpenRoaming sur l'appareil de l'utilisateur final. Sans la prise en charge de Passpoint à la fois sur l'AP et sur l'appareil, OpenRoaming ne peut pas fonctionner.

RadSec

Un protocole (RFC 6614) qui transporte les paquets RADIUS via une connexion TCP et TLS, offrant une transmission chiffrée, fiable et authentifiée de la signalisation d'authentification.

Utilisé pour sécuriser le trafic d'authentification transitant par l'internet public entre le proxy RADIUS du site et la fédération mondiale OpenRoaming. Remplace l'ancien modèle de tunnel IPSec.

RCOI (Roaming Consortium Organization Identifier)

Un identifiant de 3 ou 5 octets diffusé par les points d'accès dans les balises 802.11 et les réponses ANQP pour indiquer quels consortiums d'itinérance et quelles politiques de règlement le réseau prend en charge.

Les appareils lisent le RCOI pour déterminer s'ils détiennent des identifiants valides pour se connecter avant de tenter une authentification. Le RCOI sans frais de règlement (5A-03-BA) est la norme pour les déploiements d'entreprise.

ANQP (Access Network Query Protocol)

Un protocole IEEE 802.11 utilisé par les appareils pour interroger les points d'accès afin d'obtenir des informations sur le réseau — y compris les RCOI pris en charge, le nom du site et la liste des domaines NAI — avant l'association.

Permet aux appareils d'évaluer silencieusement si un réseau prend en charge leurs identifiants sans perturber l'utilisateur ni initier de tentative de connexion.

Identity Provider (IDP)

Une organisation qui gère les identités des utilisateurs et délivre les identifiants Passpoint (certificats ou profils) utilisés pour l'authentification OpenRoaming.

Les opérateurs mobiles, les services informatiques des entreprises et les programmes de fidélité agissent en tant qu'IDP. L'IDP authentifie l'utilisateur et signale le résultat à l'ANP via la fédération RADIUS.

Access Network Provider (ANP)

Le site ou l'organisation qui exploite l'infrastructure physique Wi-Fi, diffuse les RCOI OpenRoaming et applique les politiques d'accès locales.

Les hôtels, les stades, les magasins de détail et les bureaux d'entreprise agissent en tant qu'ANP. L'ANP contrôle ce à quoi les utilisateurs authentifiés peuvent accéder, quel que soit l'IDP qui les a authentifiés.

WBA PKI

L'infrastructure à clés publiques à quatre niveaux gérée par la Wireless Broadband Alliance, utilisée pour émettre les certificats mTLS requis pour les connexions RadSec entre les participants de la fédération.

Fournit la confiance cryptographique fondamentale qui permet à des milliers de réseaux indépendants de se fédérer de manière sécurisée sans accords bilatéraux préalables.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports qui fournit un mécanisme d'authentification pour les appareils souhaitant se connecter à un LAN ou WLAN, en utilisant les méthodes EAP (Extensible Authentication Protocol).

Le cadre de sécurité robuste qui sous-tend OpenRoaming. Il empêche les accès non autorisés et permet le chiffrement WPA3-Enterprise dès le premier paquet de données.

Chargeable-User-Identity (CUI)

Un attribut RADIUS (RFC 4372) qui fournit un identifiant pseudonyme et stable pour un utilisateur sur plusieurs sessions, sans exposer sa véritable identité au réseau d'accès.

Permet aux sites de suivre les visiteurs uniques à des fins d'analyse tout en minimisant la collecte de données personnelles, soutenant directement la conformité à la minimisation des données du GDPR.

Exemples concrets

Un hôtel de luxe de 500 chambres utilise actuellement un Captive Portal obligeant les clients à se connecter avec leur numéro de chambre et leur nom de famille. L'établissement fait face à un volume élevé de demandes d'assistance et à de faibles scores de satisfaction client concernant le Wi-Fi. Il souhaite mettre en œuvre OpenRoaming mais craint de perdre la possibilité de segmenter la bande passante pour les clients VIP et les membres du programme de fidélité.

L'hôtel doit déployer OpenRoaming en utilisant le RCOI sans règlement (5A-03-BA), l'application de fidélité de l'hôtel agissant comme fournisseur d'identité (IDP). Lorsqu'un membre VIP du programme de fidélité s'authentifie, la réponse RADIUS Access-Accept de l'IDP inclut des attributs spécifiques au fournisseur (VSA) qui demandent au contrôleur WLAN de l'hôtel d'attribuer l'utilisateur à un profil QoS premium et à un VLAN dédié à haut débit. Les clients standards authentifiés via un IDP tiers (par exemple, leur opérateur mobile) reçoivent le profil QoS par défaut. Le serveur RADIUS de l'hôtel fait office de point d'application des politiques, traduisant les attributs d'identité fournis par l'IDP en politiques réseau locales.

Commentaire de l'examinateur : Cette approche sépare élégamment l'authentification de l'autorisation. OpenRoaming gère l'intégration fluide et sécurisée (le « qui »), tandis que les politiques RADIUS locales garantissent que le site conserve un contrôle granulaire sur les ressources réseau (le « quoi »). Cela répond à la fois à l'objectif opérationnel de réduction des frictions et à l'exigence commerciale de maintien de la segmentation des services. Cela démontre également un principe architectural clé : l'IDP prouve l'identité, mais l'ANP applique la politique.

Une grande chaîne de vente au détail comptant 200 magasins souhaite déployer OpenRoaming pour améliorer la connectivité des clients et alimenter sa plateforme de WiFi Analytics avec des données de fréquentation plus riches. Son équipe de sécurité s'inquiète de la conformité PCI DSS et du risque que des appareils clients accèdent au réseau de l'entreprise ou aux systèmes de point de vente.

La chaîne de vente au détail doit mettre en œuvre une segmentation réseau stricte comme condition préalable au déploiement. L'SSID OpenRoaming doit être mappé à un VLAN invité isolé au niveau de la couche d'accès (le point d'accès ou le commutateur de distribution). Le serveur RADIUS doit appliquer une attribution dynamique de VLAN, garantissant que tous les utilisateurs authentifiés par OpenRoaming sont placés dans une instance VRF avec uniquement une route par défaut vers Internet et des règles de refus ACL explicites pour tout l'espace d'adressage interne RFC 1918. Le proxy RADIUS OpenRoaming doit être déployé dans une DMZ, sans chemin de routage direct vers le réseau de l'entreprise. Un test d'intrusion trimestriel doit vérifier que la frontière de segmentation est respectée.

Commentaire de l'examinateur : Il s'agit de l'approche standard de l'industrie pour les environnements de vente au détail. En appliquant la segmentation à la périphérie et en utilisant des VRF, le trafic OpenRoaming est complètement dissocié de l'environnement des données de titulaires de cartes (CDE). Cela garantit que le déploiement n'augmente pas la portée de leur audit PCI DSS. Le placement en DMZ du proxy RADIUS est un détail critique que de nombreux déploiements négligent : il garantit que même si l'infrastructure RADIUS est compromise, les attaquants ne peuvent pas pivoter vers le réseau de l'entreprise.

Questions d'entraînement

Q1. Votre site subit de fréquentes pannes d'authentification silencieuses pour un sous-ensemble d'utilisateurs OpenRoaming. Les captures de paquets confirment que la réponse EAP-Identity est reçue par l'AP, mais qu'aucune demande d'accès RADIUS (Access-Request) n'atteint jamais le fournisseur d'identité. Quel est le point de défaillance architectural le plus probable, et comment le diagnostiqueriez-vous ?

Conseil : Considérez les étapes requises pour que le proxy RADIUS localise la destination correcte pour le domaine de l'utilisateur spécifique avant de pouvoir transférer la demande d'authentification.

Voir la réponse type

Le point de défaillance le plus probable est la résolution DNS au niveau du proxy RADIUS. OpenRoaming repose sur la découverte dynamique (RFC 7585), ce qui nécessite que le proxy effectue une recherche DNS NAPTR/SRV sur le domaine fourni dans l'EAP-Identity. Si le DNS échoue, le proxy ne peut pas déterminer l'adresse IP du serveur RadSec du fournisseur d'identité, ce qui entraîne un échec silencieux. Diagnostiquez en exécutant une recherche manuelle NAPTR depuis le proxy RADIUS pour le domaine concerné, en vérifiant que les enregistrements SRV corrects sont renvoyés et que l'IP du serveur RadSec est accessible sur le port 2083.

Q2. Un directeur informatique d'hôpital souhaite déployer OpenRoaming pour améliorer la connectivité des cliniciens invités et des appareils IoT médicaux, mais exige que tout le trafic invité soit chiffré sur les ondes dès le moment de la connexion pour se conformer à la politique de sécurité interne. Ils utilisent actuellement un Captive Portal avec WPA2-Personal (PSK). OpenRoaming répond-il à cette exigence, et en quoi le modèle de chiffrement diffère-t-il ?

Conseil : Comparez le moment du chiffrement des Captive Portals par rapport à l'authentification basée sur 802.1X, et considérez ce qui arrive au trafic avant que la connexion au Captive Portal ne soit finalisée.

Voir la réponse type

Oui, OpenRoaming répond pleinement à cette exigence. Avec un Captive Portal, le trafic n'est pas chiffré sur les ondes tant que l'utilisateur n'a pas terminé le processus de connexion, ce qui crée une fenêtre de vulnérabilité. OpenRoaming utilise l'authentification 802.1X et le WPA3-Enterprise (ou WPA2-Enterprise), qui établit une session chiffrée unique et cryptographiquement sécurisée via un handshake à 4 voies immédiatement après une authentification réussie, avant la transmission de toute donnée utilisateur. Chaque session utilise une PMK unique dérivée de l'échange EAP, garantissant un chiffrement par session bien plus robuste que le modèle PSK partagé.

Q3. Vous configurez le contrôleur WLAN pour le déploiement d'un nouveau stade qui participera à la fédération OpenRoaming sans règlement (settlement-free). Un collègue suggère de diffuser également le RCOI avec règlement pour maximiser la compatibilité. Quelles sont les implications de la diffusion simultanée des deux RCOI, et quelle est votre recommandation ?

Conseil : Considérez les implications commerciales et opérationnelles du RCOI avec règlement (settled), et la manière dont les appareils priorisent la correspondance RCOI.

Voir la réponse type

La diffusion du RCOI avec règlement (BA-A2-D0) aux côtés du RCOI sans règlement (5A-03-BA) est techniquement possible mais comporte un risque commercial important. Le RCOI avec règlement signale aux fournisseurs d'identité que l'ANP attend une compensation financière pour la connectivité. Cela peut dissuader les fournisseurs d'identité d'autoriser leurs utilisateurs à se connecter, car ils subiraient des frais. Pour un stade recherchant une adoption maximale par les utilisateurs et une connectivité fluide, la diffusion du seul RCOI sans règlement est la bonne approche. Le RCOI avec règlement ne doit être utilisé que lorsqu'un accord commercial spécifique est en place avec les fournisseurs d'identité concernés.

Continuer la lecture de cette série

Comment configurer SCEP pour l'enrôlement automatisé de certificats WiFi d'entreprise

Ce guide explique comment configurer SCEP (Simple Certificate Enrollment Protocol) pour l'enrôlement automatisé de certificats WiFi d'entreprise, couvrant l'architecture complète depuis la PKI et le NDES jusqu'au déploiement de profils MDM et à la validation RADIUS. Il s'adresse aux responsables informatiques, architectes réseau et CTO d'hôtels, de chaînes de vente au détail, de stades, de centres de conférence et d'organisations du secteur public qui souhaitent dépasser les clés pré-partagées et mettre en œuvre une authentification 802.1X EAP-TLS évolutive et basée sur l'identité. La plateforme cloud overlay de Purple, indépendante du matériel, s'intègre directement à cette architecture, fournissant la couche WiFi pour les invités et le BYOD qui coexiste avec votre réseau d'employés authentifié par certificat.

Lire le guide →

Le guide de l'entreprise pour SCEP : Déployer le protocole SCEP (Simple Certificate Enrollment Protocol) pour la sécurité automatisée du WiFi sur les campus

Ce guide de référence technique fournit un schéma d'architecture définitif et une stratégie d'implémentation étape par étape pour le déploiement de certificats WiFi d'entreprise à l'aide de SCEP. Il présente les différences cruciales entre SCEP et PKCS, la séquence de déploiement exacte requise pour réussir, ainsi que des stratégies concrètes de mitigation des risques pour les responsables informatiques.

Lire le guide →

Comment implémenter SCEP pour l'enrôlement automatisé de certificats WiFi

Ce guide explique comment implémenter SCEP (Simple Certificate Enrollment Protocol) pour l'enrôlement automatisé de certificats WiFi dans les établissements d'entreprise. Il couvre l'ensemble du schéma architectural - de la conception de la PKI et l'intégration MDM à la séquence de déploiement obligatoire en trois étapes - et montre aux responsables informatiques et architectes réseau comment éliminer les identifiants partagés, automatiser la gestion du cycle de vie des certificats et respecter les exigences PCI DSS et GDPR à grande échelle.

Lire le guide →