Nama iPSK : un guide complet pour les entreprises

Identity Pre-Shared Key (iPSK) est actuellement le modèle d'authentification le plus performant pour les environnements multi-locataires, offrant une clé unique par logement, une isolation des appareils de niveau 2 via des Private Area Networks et une compatibilité totale avec les objets connectés. Ce guide détaille l'architecture technique, les stratégies de déploiement et l'impact commercial de l'iPSK pour les promoteurs immobiliers, les exploitants de logements locatifs gérés (BTR) et les propriétaires déployant un WiFi managé dans des bâtiments résidentiels et mixtes. La solution cloud de Purple automatise l'ensemble du cycle de vie des résidents, de l'attribution des clés à la signature du bail jusqu'à leur révocation instantanée lors du départ, sur les équipements Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet.

📖 8 min de lecture📝 1,877 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans cette présentation technique de Purple. Aujourd'hui, nous abordons Nama iPSK - l'architecture qui transforme fondamentalement la façon de déployer le WiFi dans le secteur du Build-to-Rent (logements locatifs privés), les résidences collectives et les grands établissements hôteliers. Si vous êtes responsable informatique ou architecte réseau et que vous cherchez à concilier sécurité et expérience des résidents, cette analyse approfondie de dix minutes est faite pour vous.

Analysons d'abord le contexte. Historiquement, fournir du WiFi dans un immeuble résidentiel impliquait de choisir entre deux mauvaises options. Option un : installer un routeur physique dans chaque appartement. Résultat ? Des interférences RF massives, des coûts matériels élevés et un cauchemar de gestion. Option deux : diffuser un réseau à l'échelle du bâtiment avec un mot de passe partagé ou un Captive Portal. Résultat ? Aucune confidentialité, et les appareils connectés comme l'Apple TV ou les consoles de jeux refusent tout simplement de se connecter.

C'est là que l'Identity Pre-Shared Key - ou iPSK - change la donne.

Au lieu de déployer deux cents routeurs ou de diffuser deux cents SSID, vous diffusez un seul SSID sécurisé de classe entreprise. Appelons-le WiFi Résidents. Lorsqu'un utilisateur se connecte, il n'utilise pas un mot de passe partagé. Il utilise une clé unique attribuée spécifiquement à son appartement.

Voici le fonctionnement du flux technique. Le résident connecte son appareil à l'aide de sa clé unique. L'Access Point récupère cet identifiant et le transmet via une requête RADIUS Access-Request à votre serveur d'authentification. Le serveur RADIUS valide la clé et répond par un message Access-Accept. Mais surtout, il inclut des attributs spécifiques - plus précisément, le Tunnel-Private-Group-ID.

Cela indique à l'Access Point exactement dans quel VLAN diriger cet utilisateur. Ainsi, l'appartement 101 est placé dans le VLAN 101. L'appartement 102 va dans le VLAN 102. Ils se trouvent sur le même Access Point physique, mais leur trafic est totalement isolé au niveau de la Couche 2. C'est ce que nous appelons un Private Area Network, ou PAN.

Comparons maintenant cette solution aux alternatives. Le PSK standard - le modèle à mot de passe partagé - offre une isolation nulle. Si un résident partage le mot de passe, c'est la sécurité de tout le bâtiment qui est compromise. De plus, révoquer l'accès d'un seul locataire implique de changer le mot de passe pour tout le monde. Ce n'est tout simplement pas viable à grande échelle.

La technologie WPA3-Enterprise, ou 802.1X, représente l'autre extrême. Elle est hautement sécurisée et utilisée dans les environnements d'entreprise. Mais elle nécessite des certificats numériques ou des écrans de connexion complexes. Les consoles de jeux, les enceintes connectées et les appareils domotiques ne peuvent pas gérer ce processus. Vous vous retrouvez avec des résidents frustrés et une surcharge d'appels d'assistance.

L'iPSK se situe précisément au milieu. Pour l'appareil, il ressemble exactement à un réseau WiFi domestique - un simple mot de passe à saisir. Mais en arrière-plan, il s'agit d'un système de classe entreprise avec un chiffrement individuel, une attribution dynamique de VLAN et une gestion centralisée.

Parlons maintenant de la mise en œuvre. Cinq étapes clés garantissent la réussite de votre déploiement.

Étape un : préparation de l'infrastructure. Vos commutateurs de périphérie doivent avoir tous les VLAN de locataires potentiels étiquetés (tagged) sur les ports de coffre (trunk) se connectant aux Access Points. Si le RADIUS indique à l'AP de placer un utilisateur sur le VLAN 105, mais que le VLAN 105 n'est pas étiqueté sur le port du commutateur, le trafic tombe dans un trou noir. L'utilisateur s'authentifie avec succès mais ne parvient pas à obtenir une adresse IP. C'est l'erreur de déploiement la plus courante que nous constatons.

Étape deux : configuration du contrôleur. Configurez votre contrôleur sans fil - qu'il s'agisse de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks ou Fortinet - pour diffuser un seul SSID avec iPSK activé, en orientant les requêtes d'authentification vers votre serveur RADIUS.

Étape trois : intégration du fournisseur d'identité. Connectez votre serveur RADIUS à votre logiciel de gestion immobilière ou à votre fournisseur d'identité. Microsoft Entra ID, Okta et Google Workspace prennent tous cela en charge. C'est là que Purple apporte une valeur significative en tant que couche d'orchestration.

Étape quatre : réflexion mDNS. Les résidents s'attendent à pouvoir projeter du contenu de leur téléphone vers leur téléviseur. Vous devez activer le transfert Bonjour, mais le restreindre strictement aux limites de chaque VLAN individuel. Si vous ne le faites pas, soit la projection ne fonctionnera pas du tout, soit un résident du premier étage projettera accidentellement sur un téléviseur du quatrième étage.

Étape cinq : automatisation du cycle de vie. Ne gérez pas ces clés manuellement. Intégrez votre logiciel de gestion immobilière à Purple pour déclencher la génération automatique de clés lors de la signature d'un bail et la révocation instantanée lorsqu'un locataire déménage. Zéro intervention pour votre équipe IT.

Examinons maintenant quelques pièges courants.

Le premier est l'expiration des certificats. Si votre infrastructure RADIUS repose sur des certificats côté serveur, configurez une surveillance agressive. Un certificat expiré mettra l'ensemble du bâtiment hors ligne. Configurez des rappels de renouvellement à quatre-vingt-dix jours, soixante jours et trente jours.

Le second est la prise en charge des appareils existants. Certains appareils IoT plus anciens ne prennent pas en charge les modes de transition WPA3. Maintenez un mode de compatibilité WPA2 sur le même SSID pour éviter les problèmes de compatibilité.

Le troisième est l'épuisement du pool DHCP. Le résident moyen apporte sept à dix appareils connectés. Concevez votre plan d'adressage IP pour supporter la densité de pointe. Nous recommandons un sous-réseau en slash vingt-huit - soit quatorze adresses IP utilisables - par appartement.

Passons à une session rapide de questions-réponses basée sur les questions courantes des architectes réseau.

Question un : Est-ce que iPSK fonctionne avec les anciens appareils IoT ? Réponse : Oui. Contrairement à 802.1X, qui nécessite des certificats complexes, iPSK ressemble exactement à un réseau WiFi domestique standard pour l'appareil. Cent pour cent des appareils grand public le prennent en charge.

Question deux : Quels fournisseurs de matériel prennent cela en charge ? Réponse : L'ensemble de la pile d'entreprise le prend en charge. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks et Fortinet prennent tous en charge l'attribution dynamique de VLAN via RADIUS.

Question trois : Quel est l'impact sur le retour sur investissement ? Réponse : En éliminant le matériel individuel dans les logements, vous réduisez les dépenses d'investissement de près de quarante pour cent. Vous éliminez les tickets d'assistance liés aux réinitialisations de mots de passe et aux Captive Portals. Et vous pouvez monétiser le réseau en proposant des offres de vitesse par paliers directement via le portail de gestion.

En résumé : l'iPSK est la référence absolue pour la connectivité multi-locataire. Il offre l'expérience de connexion instantanée que les résidents exigent, avec la sécurité et le contrôle dont les équipes informatiques ont besoin. Diffusez un seul SSID. Attribuez des clés uniques. Isolez le trafic par logement. Automatisez le cycle de vie.

Auditez vos déploiements MDU actuels. Si vous gérez des centaines de routeurs ou si vous devez gérer des réclamations de connectivité IoT, il est temps de concevoir une solution iPSK. Contactez l'équipe Purple pour obtenir une analyse technique de votre environnement spécifique.

Merci d'avoir suivi ce briefing technique. Continuez à bâtir des réseaux sécurisés et évolutifs.

Points clés à retenir

✓L'iPSK attribue un mot de passe WiFi unique à chaque unité de résident, éliminant ainsi les failles de sécurité et de confidentialité des réseaux PSK partagés.
✓L'attribution dynamique de VLAN (Dynamic VLAN Assignment) gérée par RADIUS isole le trafic de chaque unité au niveau de la couche 2, créant ainsi un réseau privé virtuel identique à l'expérience d'un routeur domestique.
✓L'iPSK prend en charge 100 % des appareils grand public, y compris les consoles de jeux et les équipements de maison connectée qui ne peuvent pas se connecter aux réseaux d'entreprise 802.1X.
✓Gestion automatisée du cycle de vie - intégré à votre logiciel de gestion immobilière via Purple - génère les clés lors de la signature du bail et les révoque lors du départ du locataire.
✓L'élimination des routeurs individuels réduit les dépenses d'investissement matériel (CapEx) jusqu'à 40 % et supprime les interférences radio causées par des centaines d'appareils grand public concurrents.
✓La cause de défaillance la plus fréquente lors du déploiement est l'absence de tags VLAN sur les ports trunk des switches : vérifiez la configuration des trunks de bout en bout avant la mise en service.
✓L'iPSK est compatible avec l'ensemble des infrastructures matérielles d'entreprise : Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet.

Résumé exécutif

Gérer la connectivité dans les environnements multi-locataires impose un compromis. Déployer du matériel individuel par unité crée de graves interférences RF et une lourde charge de maintenance matérielle. Diffuser des SSID partagés compromet la confidentialité des résidents et rompt la compatibilité des appareils IoT. L'Identity Pre-Shared Key (iPSK) élimine ce compromis. Il vous permet de diffuser un SSID unique et sécurisé tout en attribuant un identifiant unique à chaque unité résidentielle. Le serveur RADIUS associe chaque identifiant à un VLAN dédié, créant ainsi un réseau local privé (PAN) pour chaque appartement. Les résidents connectent leurs Smart TV, consoles de jeux et ordinateurs portables avec la simplicité d'un réseau domestique. Les équipes informatiques conservent une visibilité centralisée, une attribution dynamique des VLAN et une gestion automatisée du cycle de vie. Ce guide détaille l'architecture technique, les étapes de déploiement et les résultats commerciaux mesurables de la mise en œuvre de l'iPSK pour les promoteurs immobiliers, les opérateurs de BTR et les propriétaires.

Analyse technique approfondie : l'architecture iPSK

Les modèles traditionnels de sécurité réseau échouent dans les environnements résidentiels modernes. Le PSK standard (WPA2-Personal) n'offre aucune isolation entre les unités et s'adapte difficilement à grande échelle. Le WPA3-Enterprise (802.1X) offre une excellente sécurité mais rompt la compatibilité avec les appareils IoT sans écran et les consoles de jeux, qui ne peuvent pas gérer les flux d'authentification basés sur des certificats.

L'iPSK résout ce problème en déplaçant la logique de segmentation de la couche RF vers la couche d'authentification RADIUS. Chaque résident reçoit une clé pré-partagée unique. Cette clé constitue le jeton d'identité. Lorsque le serveur RADIUS la valide, il attribue simultanément le résident à un VLAN dédié, isolant son trafic de toutes les autres unités du bâtiment.

Le flux d'authentification

Lorsqu'un résident connecte un appareil au SSID commun du bâtiment, la séquence suivante se produit :

Étape 1 - Association. L'appareil s'associe au point d'accès en utilisant son identifiant PSK unique. Le point d'accès bloque tout le trafic à l'exception des trames EAPOL (Extensible Authentication Protocol over LAN).

Étape 2 - Requête RADIUS. Le point d'accès encapsule l'identifiant et le transmet au serveur RADIUS sous forme de paquet Access-Request.

Étape 3 - Évaluation de la politique. Le serveur RADIUS valide la clé par rapport au répertoire d'identités. En cas de correspondance, il prépare une réponse Access-Accept contenant trois attributs standards de l'IETF essentiels :

Attribut RADIUS	Valeur	Objectif
`Tunnel-Type` (64)	13 (VLAN)	Déclare la segmentation VLAN
`Tunnel-Medium-Type` (65)	6 (IEEE 802)	Spécifie le type de support
`Tunnel-Private-Group-ID` (81)	ex. "101"	Le VLAN spécifique à attribuer

Étape 4 - Attribution dynamique. L'AP lit le Tunnel-Private-Group-ID et achemine directement le trafic de l'appareil dans le VLAN dédié du résident. Le commutateur réseau en amont gère ce trafic comme si le résident était physiquement connecté à un port dédié.

Étape 5 - Réseau de zone privée (Private Area Network). Les appareils du résident sont désormais isolés au niveau de la couche 2. Ils peuvent se découvrir et communiquer entre eux (via la réflexion mDNS) mais restent invisibles pour tous les autres logements du bâtiment.

Cette architecture garantit que 200 appartements partageant les mêmes points d'accès physiques ont un trafic complètement isolé. Un résident du logement 401 peut diffuser du contenu sur son Apple TV. Il ne peut pas voir l'imprimante du logement 402.

Noms d'implémentation des constructeurs

La logique de base de l'iPSK est cohérente sur l'ensemble de la gamme de matériel d'entreprise, bien que la dénomination des constructeurs diffère :

Constructeur	Nom du produit	Intégration RADIUS
Cisco Meraki	iPSK	RADIUS avec attribut `Tunnel-Password`
HPE Aruba	MPSK (Multi-PSK)	RADIUS avec VSA `Aruba-MPSK-Passphrase`
Ruckus	DPSK (Dynamic PSK)	RADIUS avec VSA `Ruckus-DPSK-Passphrase`
Juniper Mist	PPSK (Private PSK)	RADIUS avec `Tunnel-Private-Group-ID`
Ubiquiti UniFi	PPSK	RADIUS avec attributs standards
Cambium	PPSK	RADIUS avec attributs standards
Extreme	PPSK	RADIUS avec attributs standards
Fortinet	MPSK	RADIUS avec `Tunnel-Private-Group-ID`

Guide d'implémentation : déploiement de l'iPSK

Le déploiement de l'iPSK nécessite une coordination sur l'ensemble de votre infrastructure réseau. Suivez cette séquence de déploiement universelle.

Phase 1 : préparation de l'infrastructure réseau

Définissez votre plan de VLAN avant de toucher au matériel. Pour un bâtiment de 200 logements, attribuez les VLAN 101 à 300, un par appartement. Chaque VLAN nécessite son propre sous-réseau dédié et sa plage DHCP.

Nous recommandons un sous-réseau /28 (14 adresses IP utilisables) par appartement pour répondre à la densité d'appareils modernes. Le résident moyen apporte sept à 10 appareils connectés. Un /28 offre une marge suffisante sans gaspiller d'espace d'adressage. Pour un bâtiment de 200 logements, le bloc réseau parent est un /21 (2 048 IP au total).

Étape critique : Marquez (tag) tous les VLAN potentiels des locataires sur les ports trunk reliant vos commutateurs d'accès aux points d'accès. Si le serveur RADIUS attribue un utilisateur au VLAN 105 mais que le VLAN 105 n'est pas tagué sur le port du commutateur, le trafic est perdu. L'utilisateur s'authentifie avec succès mais ne parvient pas à obtenir une adresse IP via DHCP. C'est l'erreur de déploiement la plus courante dans les environnements résidentiels collectifs (MDU).

Phase 2 : configuration du contrôleur sans fil

Configurez votre contrôleur sans fil pour diffuser un seul SSID. Définissez le mode de sécurité sur WPA2/WPA3 avec iPSK ou contrôle d'accès basé sur les adresses MAC activé. Orientez toutes les demandes d'authentification vers votre serveur RADIUS. Désactivez la diffusion du SSID pour tous les anciens réseaux par logement une fois le SSID iPSK validé.

Consolider vos réseaux sur un seul SSID offre un avantage immédiat en termes de performances RF. Chaque SSID que vous diffusez consomme du temps d'antenne avec des trames de gestion (balises, réponses aux sondes) au débit de données obligatoire le plus bas. Éliminer 10 SSIDs existants peut libérer entre 15 et 20 % de temps d'antenne disponible, selon les données de déploiement de Purple.

Phase 3 : Intégration du serveur RADIUS et du fournisseur d'identité

Votre serveur RADIUS est le moteur de règles. Il doit être configuré pour :

Accepter les demandes d'authentification de vos points d'accès (configuration par secret partagé).
Valider les identifiants par rapport à votre annuaire d'identité (Microsoft Entra ID, Okta, Google Workspace ou une base de données locale).
Renvoyer l'attribut Tunnel-Private-Group-ID correct pour chaque identifiant.

Purple agit comme la couche d'orchestration entre votre logiciel de gestion immobilière (PMS) et le serveur RADIUS. Lorsqu'un bail est signé dans votre PMS, Purple génère automatiquement une clé iPSK unique, l'associe au bon VLAN et l'envoie par e-mail au résident. À la fin du bail, Purple révoque la clé instantanément. L'équipe IT n'a plus besoin d'intervenir.

Phase 4 : Configuration de la réflexion mDNS

Les résidents s'attendent à des fonctionnalités de maison connectée. Diffuser du contenu depuis un téléphone vers un téléviseur, imprimer sans fil et connecter des enceintes connectées reposent sur la découverte mDNS (multicast DNS), également connue sous le nom d'Apple Bonjour ou DLNA.

Dans un réseau standard, le mDNS est bloqué entre les VLANs afin d'éviter la découverte d'appareils entre différents locataires. C'est le comportement attendu. Cependant, vous devez activer la réflexion mDNS au sein de chaque VLAN individuel afin que les propres appareils d'un résident puissent se découvrir entre eux. Configurez votre contrôleur sans fil pour refléter le trafic mDNS uniquement dans les limites du VLAN de chaque locataire. N'activez pas le transfert mDNS global sur tous les VLANs.

Phase 5 : Automatisation du cycle de vie et libre-service

Ne gérez pas les clés manuellement. À partir de 200 logements, avec une rotation régulière des locataires, la gestion manuelle des clés introduit des erreurs humaines et crée des failles de sécurité lorsque les locataires sortants conservent des identifiants actifs.

L'application Purple automatise l'ensemble du cycle de vie des résidents :

Intégration (Onboarding) : L'intégration avec le PMS déclenche la génération et l'envoi de la clé avant l'aménagement.
Période d'occupation : Les résidents utilisent le portail en libre-service pour ajouter des appareils, tester leur débit ou demander un renouvellement de clé.
Départ (Offboarding) : La date de fin de bail déclenche la révocation automatique de la clé et le recyclage du VLAN.

Bonnes pratiques pour les exploitants de BTR

Automatisez l'onboarding. Ne gérez pas les clés manuellement. Intégrez votre PMS avec Purple pour déclencher la génération automatique de clés et leur envoi par e-mail avant l'arrivée du résident. Cela permet d'offrir l'expérience "Instant-On" qui caractérise les marques BTR haut de gamme.

Activez la réflexion mDNS par VLAN. Assurez-vous que la diffusion de contenu et les appareils connectés fonctionnent correctement au sein de chaque PAN. Limitez strictement le mDNS aux frontières de chaque VLAN individuel pour empêcher la découverte d'appareils entre différents logements.

Surveillez la santé RF en continu. Le regroupement sur un seul SSID réduit la surcharge des trames de gestion. Utilisez le temps d'antenne récupéré pour optimiser la largeur des canaux et la puissance d'émission. La plateforme WiFi Analytics de Purple offre la visibilité nécessaire pour exploiter ces données.

Prévoyez la densité des appareils. Concevez votre plan d'adressage IP pour supporter les pics de densité sans épuiser les pools DHCP. Utilisez le concepteur de sous-réseau iPSK multi-locataire de Purple pour calculer le bloc réseau parent correct pour votre bâtiment.

Configurez des alertes de renouvellement de certificat. Si votre infrastructure RADIUS utilise des certificats côté serveur, configurez des rappels de renouvellement à 90, 60 et 30 jours. Un certificat expiré déconnecte l'ensemble du bâtiment.

Maintenez la compatibilité WPA2. Certains appareils IoT existants ne prennent pas en charge les modes de transition WPA3. Gardez la compatibilité WPA2 activée sur le même SSID pour éviter de bloquer les appareils plus anciens.

Pour une vision plus large de l'architecture SSID, lisez Trois SSIDs pour les gouverner tous : WiFi invité, Passpoint et IoT .

Dépannage et atténuation des risques

Le VLAN trou noir. Symptôme : l'utilisateur s'authentifie avec succès mais ne parvient pas à obtenir une adresse IP. Cause : le VLAN attribué n'est pas étiqueté de bout en bout, de l'AP aux commutateurs d'accès jusqu'au serveur DHCP. Résolution : vérifiez la configuration du port trunk sur chaque commutateur du chemin.

Expiration de certificat. Symptôme : l'ensemble du bâtiment perd l'accès WiFi simultanément. Cause : le certificat du serveur RADIUS a expiré. Résolution : mettez en œuvre une surveillance automatisée des certificats avec des alertes anticipées de 90 jours. Envisagez d'utiliser Let's Encrypt avec renouvellement automatique pour les certificats de serveur RADIUS.

mDNS ne fonctionne pas au sein d'un logement. Symptôme : le résident ne peut pas diffuser sur sa TV ni détecter son imprimante. Cause : la réflexion mDNS est désactivée globalement ou n'est pas limitée au VLAN du résident. Résolution : activez la réflexion mDNS par VLAN sur le contrôleur sans fil.

Épuisement du pool DHCP. Symptôme : les appareils se connectent au WiFi mais ne peuvent pas obtenir d'adresse IP, malgré un étiquetage VLAN correct. Cause : la plage DHCP est trop petite pour le nombre d'appareils connectés. Résolution : étendez le sous-réseau à un /27 (30 IP utilisables) pour les logements à forte densité ou les résidences étudiantes.

Partage de clé entre résidents. Symptôme : plusieurs résidents apparaissent sur le même VLAN. Cause : un résident a partagé sa PSK unique avec un voisin. Résolution : mettez en œuvre des politiques de rotation des clés et informez les résidents que leur clé est liée au segment réseau de leur logement.

ROI et impact commercial

La transition vers une architecture iPSK offre des résultats commerciaux mesurables pour les exploitants de BTR et les propriétaires.

Réduction des dépenses d'investissement. L'élimination des routeurs individuels dans un bâtiment de 200 logements permet de retirer 200 appareils grand public du réseau. D'après les données de déploiement de Purple, cela réduit les CapEx matériels jusqu'à 40 % par rapport à un modèle avec routeur par logement. Des points d'accès professionnels centralisés, placés de manière stratégique dans tout le bâtiment, offrent une meilleure couverture avec moins d'appareils.

Réduction des dépenses opérationnelles. La gestion automatisée du cycle de vie élimine le travail informatique manuel lié aux réinitialisations de mots de passe, au dépannage du Captive Portal et au remplacement du matériel. Le volume de tickets de support liés à la connectivité WiFi chute considérablement lorsque les résidents reçoivent des identifiants fonctionnels avant même leur emménagement.

Génération de revenus. L'architecture iPSK permet de proposer des offres de bande passante par paliers. Vous pouvez proposer un palier standard inclus dans les charges de service et un palier premium (par exemple, un palier de streaming ou de jeu avec des vitesses plus élevées) en option payante. Comme l'iPSK est basé sur l'identité, vous pouvez augmenter instantanément le palier de vitesse d'un résident via le tableau de bord Purple, sans aucune modification matérielle.

Fidélisation des résidents. Dans le secteur du logement locatif géré, la qualité du WiFi est systématiquement citée parmi les trois premiers facteurs de satisfaction des résidents lors des enquêtes. L'expérience de connexion instantanée - où le WiFi fonctionne dès que le résident franchit la porte - favorise directement la fidélisation et les avis positifs.

Pour un contexte spécifique à d'autres secteurs, explorez les guides de Purple pour l'hospitalité Hospitality , le commerce de détail Retail et la santé Healthcare , ou consultez le guide connexe sur Logo iPSK: a comprehensive guide for businesses .

Purple a été fondée en 2012 et opère dans plus de 80 000 sites actifs, avec 350 millions d'utilisateurs uniques et 440 millions de connexions enregistrées en 2024. Purple détient les certifications ISO 27001, GDPR, CCPA, Cyber Essentials et B Corp.

Définitions clés

iPSK (Identity Pre-Shared Key)

Un mécanisme d'authentification WiFi qui attribue une clé prépartagée unique à chaque utilisateur individuel, groupe d'appareils ou appartement sur un seul SSID. La clé sert de jeton d'identité que le serveur RADIUS associe à une politique réseau spécifique et à un VLAN.

Utilisé dans les environnements résidentiels gérés (BTR), les immeubles collectifs, les résidences étudiantes et l'hôtellerie pour assurer une sécurité par logement sans nécessiter de certificats 802.1X.

Private Area Network (PAN)

Un segment de réseau virtuel et isolé créé pour un utilisateur ou un groupe spécifique au sein d'une infrastructure partagée plus large. Les appareils d'un PAN peuvent se découvrir et communiquer entre eux, mais sont invisibles pour les appareils des autres PAN.

Le PAN est le résultat destiné aux résidents de l'utilisation d'iPSK et du Dynamic VLAN Assignment. Il offre l'expérience d'un réseau domestique au sein d'une infrastructure de bâtiment partagée.

Dynamic VLAN Assignment

Le processus consistant à placer un utilisateur dans un réseau local virtuel (VLAN) spécifique en fonction de son identité, tel que dicté par le serveur RADIUS lors de l'authentification, plutôt qu'en fonction de l'SSID auquel il se connecte.

Le mécanisme technique qui permet à l'isolation iPSK de fonctionner. Le serveur RADIUS renvoie l'attribut Tunnel-Private-Group-ID, que le point d'accès utilise pour affecter l'utilisateur au bon VLAN.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une authentification, une autorisation et une traçabilité (AAA) centralisées pour l'accès au réseau. Dans un déploiement iPSK, le serveur RADIUS valide les identifiants et renvoie les attributs d'affectation de VLAN.

Le moteur de règles au cœur de toute architecture iPSK. Il connecte l'infrastructure sans fil au référentiel d'identités et dicte les règles réseau par utilisateur.

Réflecteur mDNS

Une fonctionnalité réseau qui permet aux protocoles de découverte DNS multicast (Apple Bonjour, DLNA) de fonctionner à travers des limites réseau spécifiques. Dans un déploiement iPSK, elle doit être activée au sein du VLAN de chaque résident pour permettre la diffusion et la découverte d'appareils de maison intelligente.

Sans réflecteur mDNS par VLAN, les résidents ne peuvent pas diffuser de contenu sur leurs téléviseurs ni découvrir leurs imprimantes, ce qui brise l'expérience de type domestique que l'iPSK est conçu pour offrir.

Appareil sans écran (headless)

Un appareil connecté au réseau qui ne dispose pas d'un écran ou d'une interface utilisateur capable de saisir des identifiants de connexion complexes, tels qu'un nom d'utilisateur, un mot de passe ou un certificat numérique. Les exemples incluent les enceintes intelligentes, les consoles de jeux, les téléviseurs intelligents et les capteurs IoT.

Les appareils sans écran ne peuvent pas se connecter aux réseaux 802.1X. iPSK résout ce problème en utilisant une clé pré-partagée simple que n'importe quel appareil peut utiliser, quelles que soient ses capacités d'interface.

Tunnel-Private-Group-ID

Un attribut RADIUS standard de l'IETF (attribut 81) qui spécifie l'ID de VLAN à attribuer à un utilisateur authentifié. C'est l'attribut critique qui permet le Dynamic VLAN Assignment dans une architecture iPSK.

Lorsque le serveur RADIUS renvoie cet attribut dans un message Access-Accept, le point d'accès l'utilise pour diriger le trafic de l'utilisateur vers le bon VLAN.

Immobilier locatif géré (BTR)

Propriétés résidentielles construites à cet effet, conçues spécifiquement pour la location à long terme plutôt que pour la vente. Les développements BTR comprennent généralement des espaces de commodité, des services de conciergerie et des services publics gérés tels que le WiFi.

Les opérateurs de BTR sont le public principal pour les déploiements iPSK. Le WiFi géré est de plus en plus positionné comme un service essentiel dans le BTR, au même titre que l'eau, le gaz et l'électricité.

PMS (Property Management Software)

Logiciel utilisé par les gestionnaires immobiliers pour gérer les baux, les dossiers des résidents, les demandes de maintenance et la facturation. Dans un déploiement iPSK, l'intégration du PMS permet l'attribution et la révocation automatisées des clés liées au cycle de vie du bail.

L'intégration PMS est ce qui transforme l'iPSK d'une tâche informatique manuelle en un système de gestion du cycle de vie des résidents entièrement automatisé.

Exemples concrets

Un promoteur immobilier construit un complexe de 250 logements locatifs gérés (BTR). Il souhaite proposer un WiFi managé à l'échelle du bâtiment. Le cahier des charges exige que les résidents connectent tous leurs appareils le jour de leur emménagement, que les objets connectés fonctionnent et qu'aucun résident ne puisse voir les appareils d'un autre. Comment le réseau doit-il être conçu ?

Déployez un réseau unifié diffusant un seul SSID nommé « Resident WiFi ». Implémentez iPSK pour attribuer un mot de passe unique à chaque appartement. Configurez le contrôleur sans fil (Cisco Meraki, HPE Aruba ou Ruckus) pour transférer les demandes d'authentification à un serveur RADIUS. Configurez le serveur RADIUS pour renvoyer l'attribut Tunnel-Private-Group-ID pour chaque identifiant, associant chaque appartement à un VLAN dédié (VLAN 101 à 350). Dimensionnez chaque VLAN avec un sous-réseau /28 (14 adresses IP utilisables) pour prendre en charge jusqu'à 10 appareils par logement. Activez la réflexion mDNS par VLAN pour permettre la diffusion et la détection d'objets connectés au sein de chaque appartement. Intégrez le PMS à Purple pour automatiser la génération des clés lors de la signature du bail et leur révocation lors du départ. Vérifiez que tous les VLAN potentiels des locataires sont taggués sur chaque port trunk du chemin réseau.

Commentaire de l'examinateur : Cette approche élimine les interférences RF générées par 250 routeurs individuels. iPSK garantit que les appareils sans interface écran comme les Smart TV se connectent sans friction, tandis que l'attribution dynamique de VLAN fournit l'isolation de niveau 2 nécessaire à la vie privée des résidents. L'intégration PMS supprime la gestion informatique manuelle qui rend les déploiements résidentiels collectifs de grande envergure ingérables.

Un résident d'un immeuble de 150 logements locatifs gérés (BTR) signale que son smartphone se connecte correctement au WiFi du bâtiment, mais qu'il ne parvient pas à diffuser Netflix sur son Chromecast. Les deux appareils sont connectés à l'aide de l'iPSK unique du résident. L'équipe informatique a confirmé que les deux appareils se trouvent sur le bon VLAN. Quelle est la cause probable et comment résoudre ce problème ?

L'équipe informatique doit vérifier la configuration de la réflexion mDNS sur le contrôleur sans fil. La diffusion de contenu repose sur le protocole mDNS (DNS multicast) pour la détection des appareils. Dans un réseau iPSK correctement configuré, le mDNS est bloqué entre les VLAN pour empêcher la détection d'appareils entre locataires différents. Cependant, la réflexion mDNS doit être activée au sein de chaque VLAN individuel afin que les propres appareils d'un résident puissent se détecter mutuellement. Si la réflexion mDNS est désactivée globalement ou si elle n'est pas restreinte aux VLAN individuels, la diffusion échouera bien que les deux appareils soient sur le bon VLAN et disposent d'un accès internet.

Commentaire de l'examinateur : Il s'agit du problème de support technique post-déploiement le plus courant dans les environnements iPSK résidentiels collectifs. La distinction entre le blocage mDNS inter-VLAN (correct, pour la sécurité) et la réflexion mDNS intra-VLAN (requis, pour le fonctionnement) est essentielle. Les opérateurs doivent configurer correctement les deux pour offrir l'expérience fluide et domestique attendue par les résidents.

Questions d'entraînement

Q1. Vous êtes le responsable informatique d'un projet BTR de 180 logements. L'équipe immobilière souhaite que le WiFi soit inclus dans les charges de copropriété. Les étudiants et les jeunes professionnels seront les principaux résidents, chacun apportant en moyenne huit appareils connectés, y compris des consoles de jeux et des appareils domotiques. Le réseau existant utilise le protocole WPA3-Enterprise. Les résidents se plaignent que leurs consoles PlayStation 5 et leurs appareils Amazon Echo ne se connectent pas. Quel est le changement d'architecture le plus approprié ?

Conseil : Tenez compte des exigences d'authentification des appareils sans écran et de la nécessité de maintenir la responsabilité et l'isolation par logement.

Voir la réponse type

Migrer le réseau de WPA3-Enterprise (802.1X) vers une architecture iPSK. WPA3-Enterprise nécessite une authentification 802.1X, que les consoles de jeux et les enceintes connectées ne peuvent pas prendre en charge car elles ne disposent pas de l'interface pour saisir des identifiants ou installer des certificats. L'iPSK permet à ces appareils de se connecter à l'aide d'une simple clé pré-partagée tout en maintenant une isolation par unité via l'attribution dynamique de VLAN (Dynamic VLAN Assignment). Le serveur RADIUS associe chaque clé unique à un VLAN dédié, préservant ainsi la sécurité et la traçabilité que WPA3-Enterprise était censé offrir.

Q2. Après avoir déployé l'iPSK dans un immeuble résidentiel de 100 appartements, l'équipe informatique constate que les résidents des unités 201 à 210 peuvent s'authentifier au réseau WiFi mais ne reçoivent pas d'adresse IP. Les résidents de toutes les autres unités se connectent normalement. Les journaux du serveur RADIUS indiquent une authentification réussie pour toutes les unités concernées. Quelle est la cause la plus probable ?

Conseil : Pensez au chemin réseau entre les bornes d'accès (Access Points) desservant le 2ème étage et le serveur DHCP, et à ce qui doit être configuré de bout en bout.

Voir la réponse type

Le port du switch connecté aux bornes d'accès (Access Points) desservant le 2ème étage n'inclut probablement pas les tags VLAN pour les VLAN 201 à 210. Lorsque le serveur RADIUS authentifie un résident de l'unité 201 et renvoie le VLAN 201 dans l'attribut Tunnel-Private-Group-ID, la borne d'accès tente d'aiguiller le trafic vers le VLAN 201. Si le VLAN 201 n'est pas tagué sur le port du switch, le trafic est abandonné et la requête DHCP n'atteint jamais le serveur DHCP. La solution consiste à ajouter les tags VLAN manquants sur le port trunk concerné. Le fait que l'authentification réussisse mais que l'attribution d'IP échoue est la signature diagnostique de ce problème spécifique.

Q3. Un opérateur de logement connecté souhaite proposer un forfait WiFi premium "Gamer Tier" moyennant un coût mensuel supplémentaire, avec une bande passante supérieure garantie pour les résidents qui y souscrivent. L'immeuble utilise déjà l'iPSK avec isolation VLAN par unité. Comment cela peut-il être mis en œuvre sans déployer de matériel supplémentaire ?

Conseil : Considérez comment le serveur RADIUS peut renvoyer différents attributs de politique pour différents identifiants, et ce que la plateforme de gestion doit prendre en charge.

Voir la réponse type

L'opérateur peut mettre en œuvre la hiérarchisation de la bande passante via le serveur RADIUS et des politiques de qualité de service (QoS). Lorsqu'un résident passe au forfait Gamer Tier, la plateforme de gestion (Purple) met à jour son profil RADIUS pour renvoyer un attribut de politique différent en plus de l'attribution du VLAN. Cet attribut déclenche une limite de bande passante plus élevée ou une priorité de QoS supérieure sur le contrôleur sans fil. Aucun changement de matériel n'est nécessaire. Le tableau de bord Purple permet à l'équipe immobilière de modifier instantanément le forfait d'un résident, et le changement prend effet lors de la prochaine authentification.

Continuer la lecture de cette série

PPSK WPA3 : comparaison des fonctionnalités et des modèles de déploiement

Ce guide de référence technique compare le PPSK et le WPA3-SAE, en expliquant leurs différences architecturales et leurs modèles de déploiement pour les environnements multi-locataires. Il fournit des conseils pratiques aux responsables informatiques et aux promoteurs immobiliers pour mettre en œuvre des réseaux WiFi sécurisés et isolés grâce aux solutions basées sur l'identité de Purple.

La vie du PPSK : comparaison des fonctionnalités et des modèles de déploiement

Ce guide compare le PPSK (Private Pre-Shared Key) au PSK standard et à 802.1X, en détaillant les modèles d'implémentation pour les environnements multi-locataires. Il permet aux responsables informatiques et aux exploitants immobiliers de déployer un réseau WiFi sécurisé et isolé pour les résidents, qui prend en charge les appareils domestiques intelligents et génère une valeur commerciale mesurable.

PPSK vs iPSK : comparaison des fonctionnalités et des modèles de déploiement

Ce guide technique détaille le déploiement des architectures de clés pré-partagées privées (PPSK) et de clés pré-partagées d'identité (iPSK) dans les environnements multi-locataires à haute densité. Il fournit des stratégies de mise en œuvre concrètes pour les promoteurs immobiliers et les responsables informatiques afin de sécuriser les réseaux des résidents, de prendre en charge les appareils IoT et de générer un ROI positif grâce au WiFi géré.