Comment optimiser les Captive Portals pour une sécurité réseau maximale et une conversion des utilisateurs optimale
Ce guide fournit un plan technique complet pour optimiser les Captive Portals dans les établissements d'entreprise, couvrant l'architecture de segmentation réseau, le choix des méthodes d'authentification, la conception du consentement conforme au GDPR, et l'optimisation de la conversion. Il s'adresse aux responsables informatiques, architectes réseau et CTO d'hôtels, de chaînes de magasins, de stades et d'organisations du secteur public qui doivent concilier sécurité réseau et collecte de données de première partie. Purple exploite des infrastructures de Captive Portal dans plus de 80 000 établissements avec 440 millions de connexions en 2024, et les méthodologies présentées ici reflètent cette expérience opérationnelle.
Écouter ce guide
Voir la transcription du podcast
- Résumé exécutif
- Analyse technique approfondie
- Comment fonctionnent réellement les Captive Portals
- Segmentation du Réseau
- Sécuriser la Périphérie Sans Fil (Wireless Edge)
- Guide de mise en œuvre
- Étape 1 : Définir le Walled Garden
- Étape 2 : Configurer l'intégration RADIUS
- Étape 3 : Choisir les méthodes d'authentification
- Étape 4 : Concevoir les flux de consentement
- Étape 5 : Appliquer des politiques de bande passante via les VSAs RADIUS
- Bonnes pratiques
- Optimisation du taux de conversion
- Intégration de l'analyse comportementale
- Sécurisation et durcissement
- Résolution des problèmes et atténuation des risques
- Le portail ne s'affiche pas
- Randomisation des adresses MAC
- Épuisement des ressources DHCP et DNS dans les environnements à grande échelle
- Modifications des API des fournisseurs OAuth
- Retour sur investissement (ROI) et impact commercial

Résumé exécutif
Un Captive Portal est la page de connexion sur un réseau WiFi public. C'est également votre décision de sécurité réseau la plus importante ; et si vous gérez des projets marketing, c'est votre canal de collecte de données le plus précieux. Les deux objectifs de sécurité et de conversion ne sont pas en conflit, mais ils exigent des décisions de configuration différentes, et ce guide couvre les deux.
Son architecture centrale consiste à placer chaque appareil visiteur dans un VLAN isolé avant que l'authentification ne soit terminée. Un serveur RADIUS gère les sessions et libère les appareils vers le VLAN de production via des messages de changement d'autorisation (CoA). La segmentation du réseau garantit que le trafic invité ne touche jamais l'infrastructure de l'entreprise ou les systèmes de point de vente. Dans tout environnement où les terminaux de paiement et le WiFi invité partagent une infrastructure physique, il s'agit d'une exigence stricte de la norme PCI-DSS.
Du côté de la conversion, pour chaque champ de formulaire ajouté, les taux d'inscription chutent de 8 % à 12 %. La méthode d'authentification appropriée dépend du type de votre établissement et de vos objectifs en matière de données. La collecte d'e-mails offre un taux de conversion de 65 % à 80 % et garantit la propriété des données de première partie. La connexion sociale via OAuth 2.0 réduit les frictions mais introduit un risque de dépendance envers des tiers. Le SMS OTP fournit la meilleure qualité de données mais le taux de conversion le plus bas. Pour les environnements du secteur public sans objectifs marketing, la connexion en un clic est le bon choix.
Purple gère l'infrastructure de Guest WiFi dans plus de 80 000 établissements. Les conseils de ce document reflètent les 440 millions de connexions traitées en 2024 (données internes Purple, 2024).
Analyse technique approfondie
Comment fonctionnent réellement les Captive Portals
Une fois qu'un appareil s'associe à un SSID, le Captive Portal intercepte les requêtes HTTP et HTTPS. Le point d'accès place l'appareil dans un VLAN isolé, où le pare-feu n'autorise que les requêtes DNS et un ensemble restreint de destinations pré-approuvées (le Walled Garden). Le système d'exploitation de l'appareil détecte cet état restreint en interrogeant des URL connues (telles que captive.apple.com sur iOS ou connectivitycheck.gstatic.com sur Android). Lorsque la requête renvoie une réponse anormale, le système d'exploitation lance automatiquement le portail.
L'utilisateur s'authentifie. Le portail transmet les résultats au serveur RADIUS du réseau via un message CoA. Le contrôleur d'accès lève la restriction d'isolation, déplace l'appareil vers le VLAN de production et enregistre une session contenant les horodatages, les adresses MAC, l'identité et les politiques appliquées. Selon la méthode d'authentification, ce processus de bout en bout prend entre une et dix secondes.

Segmentation du Réseau
Un VLAN isolé est indispensable. Sans lui, les appareils non authentifiés sur un SSID ouvert peuvent sonder le réseau interne, accéder aux interfaces de gestion ou toucher aux systèmes de point de vente (POS). Dans les environnements relevant de la norme PCI-DSS (c'est-à-dire tout lieu où les terminaux de paiement et le WiFi invité partagent une infrastructure physique), la norme Payment Card Industry Data Security Standard v4.0 exige une isolation réseau complète entre l'environnement des données de titulaires de carte et le réseau client.
La segmentation du réseau est mise en œuvre au niveau du contrôleur d'accès. Sur Cisco Meraki, elle est configurée via les Group Policies ; sur HPE Aruba, via les User Roles ; sur Ruckus, via la configuration de Zone ; et sur Juniper Mist, via les politiques WLAN. Le principe est identique sur les quatre plateformes : une politique restreinte est appliquée aux appareils non authentifiés ; une politique de production est appliquée aux appareils authentifiés. Le serveur RADIUS est chargé d'appliquer cette transition.
Pour les établissements accueillant plusieurs types d'utilisateurs (clients, employés, prestataires), déployez des SSID distincts et associez chaque SSID à un VLAN distinct avec des règles de pare-feu et des politiques de bande passante dédiées. N'essayez pas de servir tous les types d'utilisateurs à partir d'un seul SSID via un unique Captive Portal. La complexité de la gestion des politiques l'emportera largement sur tout confort imaginé.
Sécuriser la Périphérie Sans Fil (Wireless Edge)
Les Captive Portals fonctionnent au niveau de la couche 7 et ne chiffrent pas la liaison sans fil. Sur un SSID ouvert, le trafic entre l'appareil et le point d'accès est non chiffré et visible par tout appareil situé à portée radio.
Il existe trois façons de résoudre ce problème :
WPA3 avec Captive Portal. Le WPA3-Personal fournit l'authentification simultanée d'égaux (SAE), qui élimine les attaques par dictionnaire hors ligne contre le WPA2-PSK. Le Captive Portal se déclenche toujours pour l'authentification, mais la liaison sans fil est chiffrée. C'est la norme minimale acceptable pour les nouveaux déploiements en 2026.
Passpoint (Hotspot 2.0) avec 802.1X. Passpoint utilise EAP-TLS ou PEAP pour fournir une authentification basée sur des certificats ou des identifiants. Le Captive Portal gère l'intégration initiale et la signature du consentement. Lors de la deuxième visite, Passpoint authentifie automatiquement l'appareil en arrière-plan à l'aide du profil configuré, en contournant complètement le portail. C'est l'architecture utilisée par la norme de roaming de classe opérateur OpenRoaming. Pour plus de détails sur les méthodes EAP, veuillez consulter notre guide : EAP Method WiFi: A Guide to Secure Network Access .
iPSK (Identity Pre-Shared Key). l'iPSK attribue un mot de passe WPA2 ou WPA3 unique à chaque utilisateur ou appareil via un portail. Ce mot de passe est stocké dans le serveur RADIUS et s'associe à un VLAN et une politique spécifiques. Cela fournit un chiffrement personnalisé et une traçabilité sur un SSID partagé sans la lourdeur d'infrastructure liée au déploiement complet du 802.1X. C'est l'architecture standard pour le WiFi multi-locataire dans les environnements de logements locatifs et de résidences étudiantes. Pour plus de détails sur l'authentification par certificat, consultez WiFi Certificate Authentication: Secure Network Access .
Guide de mise en œuvre
Étape 1 : Définir le Walled Garden
Avant de configurer votre portail, cartographiez et vérifiez toutes les dépendances externes requises pour l'authentification. Si vous proposez la connexion sociale Google, ajoutez accounts.google.com et les domaines d'authentification Google associés à la liste blanche. Si vous utilisez Stripe pour l'accès payant, autorisez les points de terminaison de l'API de Stripe. Si vous utilisez la connexion Apple, autorisez appleid.apple.com.
Le fait de ne pas maintenir un walled garden précis est la cause principale des échecs d'affichage du Captive Portal dans les environnements de production. Utilisez un outil de validation de walled garden pour générer des règles prêtes à copier-coller pour votre contrôleur spécifique. Purple propose un outil gratuit de validation de domaine de Walled Garden qui génère des règles prêtes à l'emploi pour les contrôleurs Cisco Meraki, Ubiquiti UniFi, HPE Aruba et Catalyst.
Étape 2 : Configurer l'intégration RADIUS
Intégrez votre contrôleur d'accès avec votre fournisseur cloud RADIUS. Configurez le contrôleur pour rediriger le trafic non authentifié vers l'URL du portail, et spécifiez les serveurs RADIUS pour l'authentification et la comptabilisation (accounting). Assurez-vous que le secret partagé RADIUS comporte au moins 22 caractères, contient des majuscules, des minuscules et des caractères spéciaux, et qu'il est renouvelé tous les 90 jours.
Pour les déploiements Cisco Meraki, configurez les serveurs RADIUS sous "Wireless > Access Control". Pour HPE Aruba, configurez sous "Security > Authentication Servers". Pour Ruckus, configurez sous "Services > Authentication". Pour Juniper Mist, configurez sous "Network > WLAN".
Étape 3 : Choisir les méthodes d'authentification

Le tableau suivant associe les types de sites aux méthodes d'authentification recommandées et aux plages de taux de conversion attendus.
| Type de site | Méthode recommandée | Conversion attendue | Données collectées |
|---|---|---|---|
| Hôtels et hébergement | Collecte d'e-mails + Connexion sociale | 65-80 % | E-mail, nom, données démographiques facultatives |
| Commerce de détail | Collecte d'e-mails | 68-75 % | E-mail, nom |
| Stades et événements | Code à usage unique par SMS (SMS OTP) | 45-55 % | Numéro de mobile vérifié |
| Centres de congrès | Connexion sociale + E-mail | 60-70 % | E-mail, profil professionnel |
| Secteur public | Clic unique | 90-95 % | Adresse MAC uniquement, horodatage |
| Santé | Clic unique | 90-95 % | Adresse MAC uniquement, horodatage |
Source : Données du réseau Purple, 440 millions de connexions, 2024.
Étape 4 : Concevoir les flux de consentement
Séparez le consentement requis pour l'accès au réseau de celui requis pour les communications marketing. Selon le UK GDPR (la version de la loi britannique conservée du Règlement (UE) 2016/679), il s'agit de deux bases juridiques distinctes.
L'accès au réseau peut être accordé sur la base d'intérêts légitimes en vertu de l'article 6(1)(f), couvrant l'administration et la sécurité du réseau. Les communications marketing nécessitent un consentement explicite en vertu de l'article 6(1)(a). Ce consentement doit être donné librement, être spécifique, éclairé et sans ambiguïté. Les cases précochées ne respectent pas cette norme.
Implémentez deux cases à cocher indépendantes sur le portail. La première, obligatoire, couvre les conditions d'utilisation et l'accès au réseau. La seconde, facultative et décochée par défaut, couvre les abonnements marketing. Enregistrez l'horodatage, l'adresse IP, l'adresse MAC et le statut du consentement pour chaque session. Cette piste d'audit constitue votre preuve de conformité en cas de demande des autorités de régulation.
Étape 5 : Appliquer des politiques de bande passante via les VSAs RADIUS
Configurez le serveur RADIUS pour renvoyer des attributs spécifiques au fournisseur (VSAs) lors d'une authentification réussie. Les VSAs demandent au point d'accès d'appliquer des limites de bande passante spécifiques, des filtres de contenu et des expirations de session en fonction du profil de l'utilisateur.
Sur HPE Aruba, le VSA Aruba-User-Role attribue aux utilisateurs un rôle nommé avec des politiques prédéfinies. Sur Cisco Meraki, l'identifiant de la politique de groupe est renvoyé via l'attribut Filter-Id. Sur Ruckus, l'attribut Ruckus-User-Groups associe les utilisateurs aux groupes configurés. Ce mécanisme permet une application dynamique des politiques sans configurer de SSIDs distincts pour les différents niveaux d'utilisateurs.
Bonnes pratiques
Optimisation du taux de conversion
Le profilage progressif est plus performant que la collecte de données en une seule session. Demandez une adresse e-mail lors de la première visite. Lors de la deuxième visite, demandez une date de naissance ou un code postal. Lors de la troisième visite, demandez les préférences marketing. Cette approche maintient des taux de conversion élevés tout en créant des profils plus riches au fil du temps.
Plus de 85 % des interactions avec le Captive Portal ont lieu sur des appareils mobiles (données internes Purple, 2024). Concevez pour les petits écrans. Les boutons doivent être assez grands pour être touchés sans zoomer. Le texte doit être lisible avec les tailles de police par défaut. Le parcours de connexion doit être complété en trois pressions maximum.
Pour les déploiements dans le commerce de détail , intégrez le portail à votre CRM ou à votre plateforme de fidélité. Pizza Express a utilisé un Captive Portal personnalisé pour ajouter 3,7 millions de clients à son CRM en deux ans, transformant chaque connexion WiFi en un abonnement marketing vérifié (données clients Purple, Pizza Express). Le portail est devenu le principal canal pour les inscriptions au programme de fidélité et le réengagement promotionnel.
Intégration de l'analyse comportementale
Les sessions de Captive Portal sont la clé de corrélation entre les analyses des points de vente physiques et les systèmes de marketing digital. Chaque session authentifiée génère un événement de fréquentation avec un horodatage, un temps de présence et un statut de visiteur récurrent. Intégrées à WiFi Analytics , ces données permettent de mesurer l'attribution de la fréquentation, la segmentation démographique et le ROI des campagnes.
Pour en savoir plus sur la façon dont les données comportementales des réseaux WiFi éclairent la gestion des établissements, consultez Analyse comportementale : Insights pour les réseaux WiFi .
Sécurisation et durcissement
Diffusez les portails exclusivement via HTTPS, en utilisant un certificat TLS valide provenant d'une autorité de certification (CA) de confiance. Les portails HTTP exposent les identifiants des utilisateurs à l'interception et déclenchent des avertissements de sécurité sur les navigateurs qui nuisent aux taux de conversion. Implémentez le protocole HTTP Strict Transport Security (HSTS) avec une durée minimale max-age de 31536000 secondes. Implémentez une limitation du débit (rate limiting) sur les points de terminaison d'authentification. Sans cette limitation, le portail est vulnérable aux attaques de credential stuffing et de force brute contre les codes d'accès. Limitez les tentatives d'authentification à cinq par adresse IP et par minute.
Réalisez des tests de pénétration sur l'application du portail au moins une fois par an. Purple détient la certification ISO 27001 et la certification Cyber Essentials, et se soumet régulièrement à des tests de pénétration tiers. Pour les déploiements dans les secteurs de la Santé et du Transport , un test trimestriel constitue la norme appropriée.
Résolution des problèmes et atténuation des risques
Le portail ne s'affiche pas
Il s'agit du mode de défaillance le plus courant. Le système d'exploitation de l'appareil envoie une requête de test (captive probe) vers une URL connue. Si le pare-feu bloque ce domaine, le système d'exploitation ne peut pas détecter l'état captif et le portail ne se lancera jamais automatiquement. Les utilisateurs doivent alors naviguer manuellement vers une URL non HTTPS pour déclencher la redirection.
Vérifiez d'abord les paramètres du Walled Garden. Assurez-vous que les domaines suivants sont accessibles avant l'authentification : captive.apple.com, www.apple.com, connectivitycheck.gstatic.com, clients3.google.com et msftconnecttest.com. Ce sont les URL de test utilisées respectivement par iOS, Android et Windows.
Randomisation des adresses MAC
iOS 14 et Android 10 ont introduit par défaut la randomisation des adresses MAC par réseau. Les appareils qui reviennent présentent une nouvelle adresse MAC à chaque connexion, ce qui interrompt la persistance de la session. Le portail invitera à nouveau l'utilisateur à s'authentifier, l'obligeant à se reconnecter.
Atténuez ce problème en déployant un profil Passpoint lors de la première connexion. Ce profil contient les identifiants que l'appareil utilise pour les connexions ultérieures, contournant ainsi complètement l'identification basée sur l'adresse MAC. Vous pouvez également utiliser un flux d'authentification basé sur une application qui s'appuie sur des jetons d'identité stockés dans l'application plutôt que sur l'adresse MAC de l'appareil.
Épuisement des ressources DHCP et DNS dans les environnements à grande échelle
Dans les grands espaces (stades, centres de congrès, hubs de transport), des milliers d'appareils se connectent simultanément au début d'un événement ou d'une conférence. Si le pool DHCP est trop restreint, les appareils ne peuvent pas obtenir d'adresse IP. Si le serveur DNS ne peut pas gérer le volume de requêtes, les requêtes de test captif échouent et le Captive Portal ne s'affiche pas.
Planifiez la taille de votre pool DHCP en fonction des pics de connexions simultanées plutôt que des moyennes. Pour un stade de 60 000 places, prévoyez 40 000 appareils connectés en même temps. Allouez un pool DHCP d'au moins 50 000 adresses et configurez une durée de bail courte (15 à 30 minutes) pour récupérer rapidement les adresses. Déployez des résolveurs DNS dédiés pour le réseau invité, séparés de l'infrastructure DNS de l'entreprise.
Modifications des API des fournisseurs OAuth
Les fournisseurs de connexion sociale modifient les conditions d'utilisation de leur API sans préavis. Facebook a progressivement restreint les données disponibles via son API Graph. Si la connexion sociale est votre seule méthode d'authentification et qu'un fournisseur modifie ses conditions, votre portail échouera pour l'ensemble des utilisateurs.
Déployez toujours au moins une méthode d'authentification non-OAuth en parallèle de la connexion sociale. La collecte d'e-mails est la solution de secours standard. Configurez une surveillance des points de terminaison d'authentification OAuth afin d'alerter sur des taux d'erreur élevés, qui sont souvent le signe précurseur - ou l'accompagnement - d'une modification d'API.
Retour sur investissement (ROI) et impact commercial
S'il est mesuré uniquement en termes de dépenses d'infrastructure, un Captive Portal est un centre de coûts ; mais s'il est mesuré à la valeur des données collectées et des programmes marketing qu'il permet, il devient un atout générateur de revenus.
Une marque de vente au détail possédant 500 magasins, enregistrant 10 000 connexions par magasin chaque mois avec un taux d'acceptation de 65 %, générera 39 millions de contacts CRM vérifiés par an. En utilisant un modèle d'attribution de revenus de marketing par e-mail prudent de 0,10 £ par contact et par an, ce seul canal de collecte de données rapporte 3,9 millions de £ de revenus attribués.
Pour les exploitants de l' Hospitalité , le portail est le premier point de contact du parcours client. Premier Inn et Whitbread utilisent les données du WiFi invité pour alimenter leurs programmes de fidélité et mesurer la corrélation entre l'engagement WiFi et les réservations répétées (données clients Purple, Whitbread).
Pour les opérateurs de transport, le portail fournit des données sur le flux de passagers qui orientent les baux commerciaux, les décisions de dotation en personnel et les performances des concessions. Manchester Airport Group (MAG) utilise l'analyse WiFi pour mesurer les temps d'attente des passagers dans les différentes zones des terminaux et corréler les données de session WiFi avec les dépenses commerciales par passager (données clients Purple, MAG).
Trois indicateurs clés définissent le succès d'un portail : le taux d'acceptation (visez plus de 60 % pour la collecte d'e-mails), le taux de qualité des données (pourcentage d'adresses e-mail validées, visez plus de 80 %) et le taux de retour (pourcentage d'utilisateurs réguliers qui s'authentifient sans saisir à nouveau leurs identifiants, visez plus de 70 %).
La plateforme WiFi Analytics de Purple fournit ces indicateurs en temps réel pour l'ensemble des sites, permettant une segmentation par emplacement, créneau horaire et cohorte d'utilisateurs.
Définitions clés
Captive portal
Une application web qui intercepte le trafic réseau après qu'un appareil s'est associé à un SSID, nécessitant une interaction de l'utilisateur (authentification, paiement ou acceptation des conditions) avant d'accorder l'accès à internet.
Le principal mécanisme pour accueillir les visiteurs sur les réseaux WiFi publics ou invités. Chaque appareil qui se connecte y passe, ce qui en fait la surface de collecte de données la plus cohérente dans un établissement physique.
Walled garden
Un environnement réseau restreint qui autorise l'accès uniquement à des adresses IP ou à des domaines spécifiques et approuvés avant l'authentification.
Nécessaire pour permettre aux appareils d'accéder à la page du Captive Portal, aux serveurs DNS et aux services d'authentification tiers requis avant que l'accès complet à internet ne soit accordé. Une mauvaise configuration est la cause principale des échecs d'affichage du portail.
RADIUS (Remote Authentication Dial-In User Service)
Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation pour les utilisateurs se connectant à un service réseau.
Le protocole standard utilisé par les portails captifs pour communiquer avec les points d'accès et les contrôleurs. Chaque point d'accès de classe entreprise de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist et Ubiquiti UniFi prend en charge RADIUS.
Change of Authorisation (CoA)
Une extension RADIUS définie dans la spécification RFC 5176 qui permet à un serveur de modifier dynamiquement les attributs d'autorisation d'une session active.
Utilisé par le Captive Portal pour ordonner au contrôleur d'accès de déplacer immédiatement un appareil du VLAN de quarantaine vers le VLAN de production après une connexion réussie, sans exiger que l'appareil se reconnecte.
Passpoint (Hotspot 2.0)
Une norme basée sur la spécification IEEE 802.11u qui permet aux appareils mobiles de découvrir et de se connecter automatiquement aux réseaux WiFi de manière sécurisée en utilisant l'authentification 802.1X, sans interaction manuelle avec un portail.
L'approche standard pour l'authentification des utilisateurs récurrents dans les espaces professionnels. Le Captive Portal gère l'intégration initiale et le recueil du consentement lors de la première visite ; Passpoint gère toutes les visites ultérieures de manière transparente et sécurisée.
VLAN (Virtual Local Area Network)
Un sous-réseau logique qui regroupe des appareils provenant de différents segments de réseau physique, imposant l'isolation du trafic au niveau de la couche de liaison de données.
Utilisé pour segmenter le trafic invité du trafic d'entreprise. Sans segmentation VLAN, un appareil invité connecté au même commutateur physique qu'un terminal de point de vente peut le sonder ou l'attaquer.
iPSK (Identity Pre-Shared Key)
Une méthode de sécurité dans laquelle une phrase secrète WPA2 ou WPA3 unique est attribuée à chaque utilisateur ou appareil pour le même SSID, stockée et appliquée par le serveur RADIUS.
Fournit un chiffrement individualisé et l'application de politiques par utilisateur sur un SSID partagé, sans la surcharge d'infrastructure d'un déploiement 802.1X complet. Architecture standard pour le WiFi multi-locataires.
Randomisation des adresses MAC
Une fonctionnalité de confidentialité dans iOS 14+, Android 10+ et Windows 10+ qui génère une adresse MAC aléatoire par réseau afin d'empêcher le suivi des appareils d'un réseau à l'autre.
Interrompt la persistance des sessions basée sur les adresses MAC sur les portails captifs. Un appareil récurrent présente une nouvelle adresse MAC, déclenchant une ré-authentification. Ce problème est atténué par les profils Passpoint ou les jetons d'identité basés sur une application.
Vendor-Specific Attribute (VSA)
Un attribut RADIUS dans l'espace de noms propre au fournisseur (attribut 26) qui transporte des instructions de politique spécifiques au fabricant de matériel du serveur RADIUS vers le contrôleur d'accès.
Utilisé pour attribuer dynamiquement des limites de bande passante, des ID de VLAN, des politiques de filtrage de contenu et des expirations de session en fonction du profil de l'utilisateur authentifié. Chaque fournisseur de matériel (Aruba, Meraki, Ruckus) définit son propre espace de noms VSA.
Exemples concrets
Un hôtel de 200 chambres équipé de points d'accès HPE Aruba a besoin d'un WiFi à plusieurs niveaux : un accès gratuit de base pour les clients standards et un accès haut débit pour les membres du programme de fidélité. Comment le Captive Portal et le réseau doivent-ils être configurés ?
Déployez un seul SSID invité sur l'ensemble de la propriété. Configurez le Captive Portal pour qu'il s'intègre au système de gestion de l'hôtel (PMS) via API. Présentez deux options d'authentification sur le portail : « Se connecter avec le numéro de chambre et le nom » et « Se connecter avec ses identifiants de fidélité ». Lorsqu'un membre du programme de fidélité s'authentifie, le portail interroge le PMS, vérifie le niveau d'abonnement et envoie un RADIUS CoA au contrôleur Aruba. La réponse RADIUS inclut un VSA Aruba-User-Role attribuant à l'utilisateur un rôle à bande passante élevée (par exemple, 50 Mbps en descente, 20 Mbps en montée). Les clients standards reçoivent un rôle par défaut avec débit limité (5 Mbps en descente, 2 Mbps en montée). Les deux types d'utilisateurs se connectent au même SSID et VLAN, mais reçoivent des politiques de bande passante différentes appliquées par le contrôleur.
Une chaîne de magasins nationale de 500 points de vente souhaite mettre en œuvre un WiFi invité pour collecter des adresses e-mail à des fins marketing. L'équipe juridique a signalé des préoccupations concernant la conformité GDPR. Comment concevoir le flux de consentement du portail ?
Concevez un portail avec un seul champ de saisie d'e-mail. Sous ce champ, implémentez deux cases à cocher distinctes. Case 1 (obligatoire, non cochée par défaut) : « J'accepte les Conditions d'utilisation et la Politique de confidentialité. Je comprends que les données de mon appareil seront traitées pour me fournir un accès réseau. » Case 2 (facultative, non cochée par défaut) : « Je consens à recevoir des communications marketing, des offres et des promotions par e-mail. » Configurez le système back-end pour enregistrer l'horodatage, l'adresse IP, l'adresse MAC et l'état des deux cases à cocher pour chaque session. Stockez cette piste d'audit de consentement dans un espace de stockage de données conforme au GDPR avec une période de rétention alignée sur le programme marketing (généralement 24 mois depuis la dernière interaction). Intégrez les adresses e-mail provenant des inscriptions de la Case 2 directement dans le CRM via API.
Questions d'entraînement
Q1. Un directeur informatique de stade signale que pendant la mi-temps, le Captive Portal ne parvient pas à se charger pour des milliers d'utilisateurs simultanément, alors que la force du signal WiFi est excellente dans tout le stade. Quel est le goulot d'étranglement architectural le plus probable, et quelle est la solution ?
Conseil : Tenez compte des services dont un appareil a besoin avant même de pouvoir demander la page du portail. La force du signal n'est pas la contrainte.
Voir la réponse type
Le goulot d'étranglement le plus probable est l'épuisement du pool DHCP ou la surcharge du résolveur DNS. Lorsque des milliers d'appareils se connectent simultanément, chacun doit obtenir une adresse IP via DHCP et résoudre l'URL de test de captivité du système d'exploitation via DNS avant que le portail ne puisse se charger. Si le pool DHCP est sous-dimensionné ou si le serveur DNS ne peut pas gérer le volume de requêtes, le processus se bloque avant que l'utilisateur ne voie quoi que ce soit. Solution : dimensionner le pool DHCP pour les connexions simultanées de pointe (et non la moyenne), définir une durée de bail courte de 15 à 30 minutes pour recycler les adresses, et déployer un résolveur DNS dédié pour le réseau invité avec une capacité suffisante pour les pics de requêtes.
Q2. Vous déployez un Captive Portal dans la salle d'attente d'un hôpital. Le but principal est de fournir un accès internet aux patients et aux visiteurs. Il n'y a aucun objectif marketing. Quel mode d'authentification devez-vous choisir, et quelles sont les implications en matière de conformité ?
Conseil : Équilibrez la friction par rapport à la valeur des données collectées. Réfléchissez à ce qui se passe lorsque vous collectez des données personnelles dont vous n'avez pas besoin.
Voir la réponse type
L'accès en un clic (conditions générales d'utilisation uniquement) est le choix correct. Il offre un taux de conversion de 90 à 95 % avec un minimum de friction. Comme il n'y a pas d'objectif marketing, la collecte de données personnelles telles que les adresses e-mail introduit des obligations de conformité GDPR (base légale, minimisation des données, politiques de conservation, droits d'accès des personnes concernées) sans apporter de valeur commerciale. Dans un environnement de santé, le risque de réputation lié à une violation de données impliquant des données personnelles de patients ou de visiteurs est particulièrement important. L'accès en un clic limite la collecte de données à l'adresse MAC et à l'horodatage, ce qui est suffisant pour la gestion du réseau dans le cadre de l'intérêt légitime.
Q3. Un détaillant souhaite proposer la connexion sociale Google et Apple sur son Captive Portal. Son réseau utilise des points d'accès Cisco Meraki. Quelle configuration réseau est obligatoire pour que la connexion sociale fonctionne, et quel est le risque de repli ?
Conseil : Comment l'appareil atteint-il le fournisseur d'identité avant d'avoir un accès internet ? Que se passe-t-il si le fournisseur modifie ses conditions ?
Voir la réponse type
Vous devez configurer le walled garden sur le contrôleur d'accès Meraki pour autoriser les domaines d'authentification des deux fournisseurs : accounts.google.com et les terminaux OAuth Google associés, ainsi que appleid.apple.com et les terminaux d'authentification Apple associés. Sans ces entrées, le VLAN de quarantaine bloquera la requête OAuth, et la connexion sociale échouera silencieusement. Le risque de repli réside dans la modification de l'API du fournisseur : si Google ou Apple modifie ses conditions OAuth ou ses terminaux API, le flux d'authentification s'interrompt pour tous les utilisateurs qui dépendent de cette méthode. Déployez toujours la saisie d'e-mail comme option d'authentification parallèle afin que les utilisateurs disposent d'un repli non-OAuth.
Q4. Un exploitant de centre de conférences souhaite utiliser le SMS OTP comme méthode d'authentification principale pour un événement de trois jours avec un volume attendu de 8 000 connexions uniques par jour. Quelles implications financières doivent être modélisées avant de s'engager dans cette méthode ?
Conseil : Le SMS OTP a un coût par message. Calculez le total à grande échelle et tenez compte de l'impact sur le taux de conversion.
Voir la réponse type
À raison de 8 000 connexions par jour pendant trois jours, vous traitez 24 000 messages SMS. Avec un tarif moyen des opérateurs britanniques de 2 à 5 pence par message, le coût se situe entre 480 £ et 1 200 £ pour l'événement. Si les participants sont internationaux, les coûts augmentent considérablement (jusqu'à 10 à 15 pence par message pour certains marchés). De plus, les taux de conversion des SMS OTP sont de 45 à 55 %, ce qui signifie que seulement 4 400 à 4 800 des 8 000 connexions attendues seront finalisées. Les autres participants auront besoin d'une méthode alternative. Modélisez le coût par message, intégrez le taux de conversion et assurez-vous qu'une méthode de repli (saisie d'e-mail ou accès en un clic) est disponible pour les utilisateurs qui ne finalisent pas la vérification par SMS.
Continuer la lecture de cette série
Captive Portal pour Ruijie : configurez-le avec le WiFi invité Purple
Découvrez comment le WiFi invité cloud de Purple se superpose aux points d'accès Ruijie RG Series en utilisant l'authentification web et RADIUS, configuré en ligne de commande, et où trouver les étapes exactes de configuration.
Conception de Captive Portals B2B : Collecter le Nom Enregistré et les Données de l'Entreprise
Ce guide fournit aux responsables informatiques et aux exploitants de sites un cadre technique indépendant des fournisseurs pour concevoir des Captive Portals B2B. Il détaille comment structurer les champs d'inscription pour capturer le nom enregistré et les données de l'entreprise, garantissant des taux de complétion élevés tout en maintenant la conformité GDPR et en développant une intelligence au niveau des comptes.
Architecture de Captive Portal : Sécurité, redirection et bonnes pratiques
Une référence technique définitive sur l'architecture de captive portal d'entreprise. Ce guide détaille l'isolation réseau, la redirection DNS, l'authentification RADIUS et la conformité en matière de sécurité pour les responsables informatiques déployant des réseaux WiFi invités sécurisés et riches en données.