Ubiquiti UniFi et Purple WiFi : Guide d'intégration

Ce guide fournit une référence technique définitive pour intégrer la plateforme d'intelligence Purple WiFi aux déploiements de réseaux Ubiquiti UniFi, couvrant l'architecture, la configuration étape par étape du contrôleur et la capture de données conforme au GDPR. Il est conçu pour les responsables informatiques, les architectes réseau et les directeurs des opérations qui doivent déployer une expérience WiFi invité sécurisée et riche en fonctionnalités dans les secteurs de l'hôtellerie, du commerce de détail, de l'événementiel et du secteur public. En configurant correctement le contrôleur réseau UniFi pour exploiter le Captive Portal externe de Purple, les organisations peuvent transformer un centre de coûts standard en une source précieuse d'analyses des visiteurs et d'intelligence marketing.

📖 8 min de lecture📝 1,793 mots🔧 2 exemples concrets❓ 4 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans ce briefing technique Purple. Je suis votre hôte, et au cours des dix prochaines minutes, nous allons vous présenter un guide de niveau senior pour intégrer la plateforme d'intelligence WiFi de Purple aux réseaux Ubiquiti UniFi. Ce guide s'adresse aux responsables informatiques, aux architectes réseau et aux directeurs des opérations qui ont besoin de conseils concrets pour déployer une solution WiFi invité de classe mondiale. Nous aborderons l'architecture de base, un plan de mise en œuvre étape par étape et les pièges courants à éviter.

Situons le contexte. Vous disposez d'un réseau UniFi — il est puissant, il est évolutif, mais ses capacités de portail invité natives sont basiques. Votre organisation a besoin de plus qu'un simple mot de passe ; elle a besoin d'intelligence. Vous souhaitez comprendre le comportement des visiteurs, capturer des données pour le marketing de manière conforme au GDPR et offrir une expérience utilisateur fluide et personnalisée. C'est le problème que résout l'intégration de Purple. Elle transforme votre infrastructure UniFi, d'un simple fournisseur d'accès Internet en une riche source d'intelligence d'affaires.

Le cœur de cette intégration repose sur la fonctionnalité External Portal Server d'UniFi. Lorsqu'un invité se connecte, le contrôleur UniFi ne gère pas la connexion lui-même. Au lieu de cela, il redirige l'utilisateur vers la plateforme cloud Purple, qui prend en charge l'ensemble du parcours d'authentification. Une fois que l'utilisateur s'est connecté via un compte social, un formulaire ou un bon d'achat, Purple effectue un appel API sécurisé vers votre contrôleur UniFi pour lui dire : « Cet utilisateur est authentifié, accordez-lui l'accès. » C'est une architecture simple, robuste et très efficace.

Passons maintenant à l'analyse technique approfondie. Passons en revue les cinq étapes clés d'un déploiement réussi. Je serai concis.

Étape 1 : Accessibilité du contrôleur. Votre contrôleur UniFi doit être accessible par la plateforme cloud de Purple. Cela signifie que vous devez disposer d'une IP publique statique ou d'un nom d'hôte, et que vous devez configurer une règle de redirection de port sur votre pare-feu. Il s'agit du port TCP 8443 pour les contrôleurs logiciels et du port 443 pour les matériels comme la UDM Pro ou la Cloud Key Gen2.

Étape 2 : Le SSID invité. Dans votre application réseau UniFi, vous allez créer un nouveau réseau sans fil. Le paramètre crucial ici est que le protocole de sécurité doit être Open. C'est non négociable. C'est cet état ouvert qui permet à la redirection du Captive Portal de se produire. Ne vous inquiétez pas, la sécurité est gérée par le portail et la segmentation du réseau, pas par une clé pré-partagée.

Étape 3 : Le Hotspot Portal. C'est ici que vous indiquez à UniFi d'utiliser Purple. Vous allez activer le Hotspot Portal et définir le type d'authentification sur External Portal Server. Vous saisirez ensuite l'adresse IP spécifique et le domaine d'accès fournis par Purple. Une erreur clé à éviter ici est d'activer la redirection HTTPS. Purple gère la sécurité, elle doit donc être désactivée.

Étape 4 : Le Walled Garden. C'est la partie la plus critique et la plus souvent mal comprise de la configuration. Le Walled Garden est votre liste blanche de pré-authentification. Vous devez ajouter tous les domaines de Purple, ainsi que les domaines de tous les fournisseurs de connexion sociale que vous souhaitez proposer, comme facebook.com. Si cette liste est incomplète, le portail ne se chargera tout simplement pas pour vos invités. C'est le premier endroit à vérifier en cas de problème.

Étape 5 : Le portail Purple. Enfin, vous vous connectez à votre compte Purple. Dans les paramètres de votre lieu, vous saisirez l'adresse publique de votre contrôleur UniFi et, point très important, les identifiants d'un compte administrateur local dédié — pas les identifiants de votre compte cloud Ubiquiti. C'est ce qui permet à Purple de passer cet appel API vital pour autoriser l'invité.

Suivez ces cinq étapes et vous disposerez d'une solution WiFi invité robuste et de classe entreprise.

Parlons des recommandations de mise en œuvre et des pièges à éviter. Règle d'or numéro un : la segmentation du réseau. Votre SSID invité doit être sur son propre VLAN, complètement isolé de votre réseau d'entreprise. C'est non négociable pour la sécurité et la conformité PCI DSS. Deuxièmement, utilisez la limitation de bande passante. UniFi vous permet de définir des limites de débit par utilisateur. Utilisez-les pour garantir une expérience équitable pour tous. Troisièmement, comme je l'ai mentionné, utilisez un compte d'administration local dédié pour l'API. Cela limite votre exposition en matière de sécurité.

Le piège le plus courant que nous constatons est une redirection échouée — le portail ne se charge pas. Neuf fois sur dix, cela est dû à un Walled Garden incomplet. Le deuxième problème le plus courant est une connexion réussie, mais pas d'accès à Internet. Cela indique directement un échec de communication entre Purple et votre contrôleur. Vérifiez vos règles de redirection de port et les identifiants d'administration dans le portail Purple.

Place à une session de questions-réponses rapide. On me demande souvent : puis-je faire cela avec une UDM Pro ? Oui, absolument. Le processus est identique, n'oubliez pas d'utiliser le port 443. Que se passe-t-il si l'IP de my contrôleur change ? Vous avez besoin d'une IP statique ou d'un nom d'hôte DNS dynamique. Si l'adresse change, l'intégration ne fonctionnera plus. Quelle est la sécurité d'un SSID Open ? La sécurité est assurée par l'isolation des clients sur le point d'accès et par les règles de pare-feu du VLAN. Le réseau invité est isolé. Pour une sécurité encore plus grande, nous pouvons déployer WPA3-Enterprise avec RADIUS, ce que fait notre solution PurpleConnex.

Pour résumer, l'intégration de Purple à UniFi élève votre WiFi invité d'un simple service utilitaire à un actif stratégique. Elle apporte une intelligence d'affaires approfondie, des capacités marketing puissantes et une expérience utilisateur professionnelle. La clé du succès réside dans une approche méthodique de la configuration : assurez un accès public au contrôleur, utilisez un SSID open, configurez correctement le portail externe et le Walled Garden, et utilisez un administrateur local dédié pour l'API. En suivant ce guide, vous garantirez un déploiement fluide, réussi et de grande valeur. Pour des instructions écrites détaillées, étape par étape, et des schémas, veuillez vous référer au guide de référence technique complet sur notre site Web. Merci d'avoir écouté ce briefing technique Purple.

Points clés à retenir

✓L'intégration UniFi/Purple utilise la fonctionnalité External Portal Server d'UniFi pour rediriger les invités vers le Captive Portal de Purple, qui gère l'authentification et appelle l'API UniFi pour autoriser l'accès des invités — aucun matériel supplémentaire n'est requis.
✓Le Walled Garden (liste d'accès de pré-autorisation) est l'élément le plus critique et le plus fréquemment mal configuré du déploiement. Il doit inclure tous les domaines Purple, les domaines des fournisseurs de connexion sociale et les points de terminaison CNA Apple pour que le portail fonctionne correctement.
✓Utilisez toujours un compte administrateur local dédié sur le contrôleur UniFi pour l'intégration de l'API Purple — n'utilisez jamais les identifiants de votre compte cloud Ubiquiti principal. Il s'agit à la fois d'une bonne pratique de sécurité et d'une exigence de fiabilité.
✓Le port API correct dépend du type de contrôleur : TCP 8443 pour les contrôleurs logiciels, TCP 443 pour les contrôleurs matériels (UDM Pro, UDM SE, UDR, CloudKey Gen2+). La configuration d'un mauvais port est une cause fréquente d'échecs de communication API.
✓La segmentation du réseau n'est pas négociable : le SSID invité doit être sur un VLAN dédié, isolé par pare-feu de tous les réseaux d'entreprise et de gestion. Cela est requis à la fois pour la sécurité et pour la conformité PCI DSS.
✓Le ROI de l'intégration de Purple va bien au-delà de la connectivité : les analyses des visiteurs, la capture de données conforme au GDPR, l'intégration CRM et les communications marketing ciblées transforment le WiFi invité en un actif commercial mesurable.
✓Pour les utilisateurs récurrents, la fonctionnalité PurpleConnex (Passpoint/IEEE 802.11u) de Purple offre une expérience de reconnexion fluide et sans identifiants grâce à l'authentification EAP-TTLS basée sur RADIUS, éliminant ainsi le besoin de se réauthentifier via le Captive Portal lors des visites ultérieures.

Synthèse

Ubiquiti UniFi est l'une des plateformes WiFi d'entreprise les plus déployées au monde, plébiscitée par les hôtels, les chaînes de distribution, les stades et les organisations du secteur public pour ses performances, sa scalabilité et sa rentabilité. Cependant, ses fonctionnalités natives de portail invité sont limitées. La plateforme d'intelligence WiFi de Purple résout cette lacune en s'intégrant directement au contrôleur réseau UniFi via sa fonctionnalité d'External Portal Server, offrant une expérience de Captive Portal entièrement personnalisée et riche en analyses, sans nécessiter de matériel supplémentaire.

Ce guide fournit une référence technique complète pour cette intégration. Il couvre l'architecture sous-jacente, un processus de configuration étape par étape pour les versions actuelles (v7.4+) et héritées (v7.3 et antérieures) d'UniFi, les meilleures pratiques en matière de sécurité et de conformité, ainsi qu'un cadre de dépannage structuré. Les organisations qui réalisent cette intégration accèdent à des analyses de visiteurs en temps réel, à une capture de données conforme au GDPR, à l'intégration CRM et à la possibilité de diffuser des communications marketing ciblées — transformant ainsi le WiFi invité d'un centre de coûts en un actif commercial mesurable.

Analyse Technique Approfondie

L'intégration entre Ubiquiti UniFi et Purple repose sur la fonctionnalité d'External Portal Server d'UniFi. Cette fonctionnalité redirige les utilisateurs invités depuis le contrôleur UniFi local vers un Captive Portal tiers désigné — dans ce cas, la plateforme Purple. Le mécanisme sous-jacent s'appuie sur une série de redirections HTTP et d'appels API qui gèrent le cycle de vie de l'autorisation des invités.

Lorsqu'un invité se connecte au SSID d'authentification ouverte désigné, le contrôleur UniFi place son appareil dans un état « en attente ». Dans cet état, tout le trafic HTTP est intercepté et redirigé vers l'URL de la splash page de Purple, avec des paramètres clés ajoutés à la chaîne de requête de l'URL : l'adresse MAC de l'invité, l'adresse MAC de l'AP et l'identifiant du site. La plateforme Purple capture ces paramètres, présente l'expérience de connexion appropriée et, après une authentification réussit de l'utilisateur — que ce soit via une connexion sociale, un formulaire d'e-mail ou un coupon —, effectue un appel API HTTPS sécurisé vers le contrôleur réseau UniFi pour autoriser l'adresse MAC de l'invité pour une durée de session spécifiée. Cette autorisation fait passer l'appareil de l'état « en attente » à l'état « autorisé », lui accordant l'accès à Internet.

Un composant critique de cette architecture est le Walled Garden — une liste blanche d'adresses IP et de domaines auxquels les appareils invités sont autorisés à accéder avant l'authentification. Cela est essentiel pour permettre l'accès aux propres domaines de Purple, aux fournisseurs de connexion sociale (Facebook, Google), aux points de terminaison de détection CNA d'Apple et à tout autre service externe requis. Sans un Walled Garden correctement configuré, le Captive Portal ne se chargera pas du tout.

Pour les déploiements plus avancés, la fonctionnalité PurpleConnex de Purple introduit la prise en charge de Passpoint (IEEE 802.11u), en utilisant un serveur RADIUS pour une reconnexion transparente et sans identifiants pour les utilisateurs de retour. Cela nécessite la configuration d'un profil RADIUS au sein d'UniFi pointant vers le serveur d'authentification de Purple à l'adresse IP 34.150.158.147, sur les ports 1812 (authentification) and 1813 (comptabilité).

Guide d'Implémentation

Cette section fournit un guide étape par étape pour configurer votre contrôleur réseau UniFi afin de l'intégrer à Purple. Les instructions suivantes s'appliquent à la version 7.4 ou plus récente de l'application réseau UniFi. Pour les versions héritées (v7.3 et antérieures), les principes de configuration sont identiques mais le chemin de navigation diffère légèrement, utilisant Profils > Hotspot Invité plutôt que le Gestionnaire de Hotspot.

Étape 1 : Vérifier et Établir l'Accessibilité du Contrôleur. Avant de commencer toute configuration, confirmez que votre contrôleur réseau UniFi est accessible depuis l'Internet public. La plateforme cloud de Purple doit pouvoir communiquer avec l'API de votre contrôleur pour autoriser les sessions des invités. Pour les contrôleurs UniFi logiciels, cela nécessite une règle de redirection de port sur votre pare-feu associant le port TCP 8443 à l'adresse IP LAN interne du contrôleur. Pour les déploiements matériels — y compris l'UniFi Dream Machine Pro (UDM Pro), l'UDM Special Edition, l'UDR et la CloudKey Gen2+ —, le port concerné est le TCP 443.

Étape 2 : Créer un Compte Administrateur Local Dédié. Par mesure de sécurité, n'utilisez jamais les identifiants de votre compte super-admin Ubiquiti principal ou de votre compte cloud pour l'intégration de l'API Purple. Créez un nouveau compte administrateur local dédié sur votre contrôleur UniFi spécifiquement à cet effet. Ce compte doit disposer de privilèges administratifs complets pour le site concerné. L'utilisation d'un compte dédié limite la portée de toute compromission potentielle d'identifiants et garantit que l'intégration n'est pas perturbée par des modifications apportées à votre compte principal.

Étape 3 : Créer le SSID WiFi Invité. Dans l'application réseau UniFi, accédez à Paramètres > WiFi et cliquez sur Créer un nouveau. Attribuez un nom public (par exemple, « WiFi Invité Hôtel »). Définissez le Protocole de Sécurité sur Ouvert — cela est obligatoire pour que le mécanisme de redirection du Captive Portal fonctionne. Attribuez le SSID à votre VLAN invité désigné. Activez le bouton bascule Portail Hotspot.

Étape 4 : Configurer le Portail Hotspot et le Serveur Externe. Accédez à Gestionnaire de Hotspot > Page d'accueil. Sous Authentication, sélectionnez External Portal Server et saisissez l'adresse IP du portail externe fournie par Purple. Sous Settings, configurez comme suit : activez Secure Portal, activez Redirect using Hostname et saisissez le domaine d'accès fourni par Purple, et assurez-vous que HTTPS Redirection est défini sur Disabled. La session Default Expiration doit être définie sur 8 heures.

Étape 5 : Configurer le Walled Garden. Dans les paramètres du Hotspot Manager, localisez la section Pre-Authorization Access. Ajoutez tous les domaines de la liste fournie par Purple. Cette liste comprend généralement les domaines de la plateforme de Purple, les domaines des fournisseurs de connexion sociale (facebook.com, google.com, accounts.google.com), les points de terminaison de détection du Captive Network Assistant (CNA) d'Apple et tout autre service tiers utilisé sur votre page de connexion. Cette étape est la source la plus fréquente d'échecs de déploiement et doit être réalisée avec précision.

Étape 6 : Saisir les détails du contrôleur dans le portail Purple. Connectez-vous à votre compte Purple et accédez aux paramètres du site concerné. Saisissez l'adresse IP publique ou le nom d'hôte de votre contrôleur UniFi ainsi que les identifiants du compte d'administrateur local dédié créé à l'étape 2. Enregistrez la configuration. Purple tentera de valider la connexion.

Étape 7 : Tester et valider. À l'aide d'un appareil mobile non connecté auparavant au réseau, connectez-vous au nouveau SSID invité. Vous devriez être automatiquement redirigé vers le Captive Portal de Purple. Authentifiez-vous à l'aide de l'une des méthodes configurées. En cas de succès, l'accès à Internet doit vous être accordé. Si la redirection échoue ou si l'accès à Internet n'est pas accordé après l'authentification, reportez-vous à la section Dépannage ci-dessous.

Bonnes pratiques

La segmentation du réseau est l'exigence de sécurité fondamentale pour tout déploiement de WiFi invité. Le SSID invité doit être attribué à un VLAN dédié, protégé par un pare-feu de tous les réseaux d'entreprise et d'administration. Cela empêche les appareils invités d'accéder aux ressources internes, répond aux exigences d'isolation réseau PCI DSS et limite l'impact de tout incident de sécurité sur le réseau invité.

La gestion de la bande passante est tout aussi importante dans les environnements à haute densité. La fonctionnalité de limitation du débit par utilisateur d'UniFi doit être configurée pour définir des limites de téléchargement ascendant et descendant raisonnables pour les utilisateurs invités. Cela évite qu'un petit nombre d'utilisateurs gourmands en bande passante ne dégrade l'expérience de l'ensemble des invités, ce qui est particulièrement pertinent dans les déploiements d'hôtels et de centres de conférences.

Le Walled Garden nécessite une maintenance continue. Les fournisseurs de connexion sociale et autres services tiers mettent périodiquement à jour leurs structures de domaine. Une révision trimestrielle de la configuration du Walled Garden, croisée avec la dernière liste de domaines recommandée par Purple, est une excellente pratique opérationnelle. Le fait de ne pas maintenir cette liste est la principale cause d'échecs du portail après le déploiement.

Pour l'intégration de l'API, utilisez toujours un compte d'administrateur local dédié plutôt qu'un compte lié au cloud. Il s'agit à la fois d'une bonne pratique de sécurité et d'une mesure de fiabilité — les identifiants des comptes cloud sont soumis à des flux d'authentification multifacteur qui peuvent interrompre les appels API automatisés que Purple effectue pour autoriser les invités.

Dépannage et atténuation des risques

Le mode de défaillance le plus courant est un Captive Portal qui ne se charge pas. Lorsqu'un invité se connecte au SSID mais ne voit aucune redirection, ou que la page du portail ne s'affiche pas, la cause première est presque invariablement un Walled Garden incomplet. Commencez le dépannage en connectant un appareil de test et en essayant de naviguer vers une URL HTTP connue. Si la redirection a lieu mais que la page ne se charge pas, ajoutez les domaines manquants au Walled Garden. Vérifiez également que le DNS du réseau invité est correctement configuré pour résoudre les noms d'hôte externes.

Le deuxième échec le plus courant est un scénario dans lequel l'invité s'authentifie avec succès sur le portail Purple mais ne se voit pas accorder l'accès à Internet. Cela indique un échec dans la communication API entre Purple et le contrôleur UniFi. Les étapes de diagnostic sont les suivantes : premièrement, confirmez que le contrôleur est accessible publiquement sur le bon port en essayant de l'atteindre depuis un réseau externe ; deuxièmement, vérifiez que les identifiants de l'administrateur local saisis dans le portail Purple sont corrects et que le compte n'a pas été verrouillé ; troisièmement, examinez les journaux d'événements du contrôleur UniFi pour détecter d'éventuelles erreurs d'authentification API.

Pour les déploiements en production, la disponibilité du contrôleur est un facteur de risque critique. Si le contrôleur UniFi se déconnecte, les nouvelles autorisations d'invités échoueront. Les stratégies d'atténuation comprennent le déploiement d'un contrôleur UniFi hébergé dans le cloud (qui offre une redondance inhérente), la mise en œuvre d'une paire de contrôleurs en haute disponibilité, ou la configuration de la surveillance et des alertes sur la disponibilité du contrôleur. La plateforme de Purple mettra en file d'attente les tentatives d'autorisation et réessaiera, mais une indisponibilité prolongée du contrôleur entraînera une dégradation de l'expérience client.

Du point de vue de la conformité, les données collectées via le Captive Portal sont soumises au GDPR et aux réglementations équivalentes en matière de protection des données. La plateforme de Purple est conçue pour la conformité, offrant une gestion des consentements, des outils de demande d'accès aux données par les personnes concernées (DSAR) et des politiques de conservation des données configurables. Toutefois, la responsabilité juridique du traitement licite des données incombe à l'exploitant du site. Assurez-vous que votre politique de confidentialité est clairement liée sur la page de connexion, que vous disposez d'une base juridique documentée pour la collecte de données et que vos paramètres de conservation des données sont alignés sur la politique de votre organisation.

ROI et impact commercial

L'intégration de Purple avec UniFi n'est pas seulement une mise à niveau technique ; c'est une décision commerciale stratégique qui transforme le WiFi invité d'un centre de coûts en un actif puissant. Le retour sur investissement est mesurable à travers plusieurs dimensions clés.

L'intelligence d'affaires est le principal moteur de valeur. Purple capture des données riches et anonymisées sur le comportement des visiteurs — y compris la fréquentation, les temps de séjour, la fréquence des visites et les schémas de déplacement. Pour une chaîne de vente au détail, ces données peuvent directement éclairer les décisions d'aménagement des magasins, les niveaux de personnel, et le calendrier des promotions. Pour un hôtel, cela peut révéler quels services sont les plus utilisés et à quels moments, permettant ainsi un upselling plus ciblé et une meilleure efficacité opérationnelle.

Les capacités de marketing et d'engagement représentent un avantage secondaire majeur. En collectant les coordonnées des clients avec leur consentement, les organisations peuvent constituer une base de données marketing de premier niveau (first-party) qui n'est pas soumise aux limites de la disparition des cookies tiers. Les campagnes d'e-mailing post-visite, les enquêtes de satisfaction et les invitations aux programmes de fidélité peuvent être automatisées directement depuis la plateforme Purple, générant des améliorations mesurables des taux de revisite et de la valeur à vie du client.

Pour les grands espaces tels que les stades, les centres de conférence et les centres commerciaux, l'intelligence opérationnelle issue de l'analyse de la fréquentation en temps réel et des cartes de chaleur peut générer des gains d'efficacité significatifs — en optimisant les plannings de nettoyage, le déploiement de la sécurité et l'emplacement des concessions commerciales sur la base de données réelles de déplacement des visiteurs plutôt que sur des hypothèses.

Dans certains contextes, l'infrastructure de guest WiFi elle-même peut être monétisée grâce à des modèles d'accès payants par paliers, des portails d'accès sponsorisés ou de la publicité ciblée, créant ainsi une source de revenus directs qui compense le coût de l'investissement dans l'infrastructure.

Définitions clés

Captive Portal

Une page web affichée aux utilisateurs nouvellement connectés d'un réseau WiFi avant qu'ils ne bénéficient d'un accès plus large à Internet. Elle contrôle l'accès, authentifie les utilisateurs et/ou présente les conditions d'utilisation et le contenu marketing.

Dans une intégration UniFi/Purple, le contrôleur UniFi redirige l'invité vers le Captive Portal hébergé par Purple, qui gère l'ensemble de l'expérience de l'invité, y compris l'authentification, la capture du consentement et l'image de marque.

External Portal Server

Une option de configuration UniFi qui délègue l'expérience du Captive Portal à une application web tierce, plutôt que d'utiliser le portail intégré d'UniFi. Le contrôleur UniFi redirige les invités vers l'URL externe spécifiée et s'appuie sur ce système pour gérer l'authentification et appeler l'API du contrôleur pour autoriser l'invité.

Il s'agit du paramètre UniFi central qui permet l'intégration de Purple. Il se trouve sous Hotspot Manager > Landing Page > Authentication dans UniFi Network v7.4+.

Walled Garden

Une liste blanche d'adresses IP, de noms d'hôte et de domaines qu'un appareil invité est autorisé à consulter avant d'avoir été authentifié par le Captive Portal. Le trafic vers des destinations non listées est bloqué jusqu'à ce que l'invité termine le processus d'authentification.

Ceci est essentiel pour permettre à l'appareil de charger la page d'accueil de Purple elle-même, ainsi que toutes les ressources tierces sur lesquelles elle s'appuie, telles que les fournisseurs de connexion sociale ou les passerelles de paiement. Un Walled Garden incomplet est la cause principale des échecs de Captive Portal.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau (RFC 2865) qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour les utilisateurs se connectant à un service réseau.

Alors que l'intégration standard de Purple utilise l'API UniFi pour l'autorisation des invités, la fonctionnalité PurpleConnex (Passpoint) utilise RADIUS pour fournir une expérience de connexion plus sécurisée et fluide pour les utilisateurs récurrents, éliminant ainsi le besoin de se réauthentifier via le Captive Portal.

Passpoint (IEEE 802.11u / Hotspot 2.0)

Un programme de certification de la WiFi Alliance qui permet une authentification automatique et sécurisée aux réseaux WiFi sans exiger de l'utilisateur qu'il sélectionne manuellement un réseau ou saisisse des identifiants. Les appareils dotés d'un profil Passpoint se connectent automatiquement et de manière sécurisée à l'aide d'une authentification basée sur EAP.

La fonctionnalité PurpleConnex de Purple exploite Passpoint pour offrir une expérience de reconnexion fluide aux invités récurrents. Une fois qu'un utilisateur s'est authentifié une fois via le Captive Portal, les visites ultérieures peuvent se connecter automatiquement sans afficher à nouveau la page d'accueil.

SSID (Service Set Identifier)

Le nom public d'un réseau local sans fil (WLAN) — le nom du réseau qui apparaît lorsqu'un utilisateur recherche les connexions WiFi disponibles sur son appareil.

Pour une intégration de réseau invité, un SSID dédié est créé avec une sécurité Open et lié au Captive Portal. Il est maintenu séparé du SSID d'entreprise, qui utilise l'authentification WPA2/WPA3-Enterprise.

VLAN (Virtual Local Area Network)

Une méthode de création de réseaux logiquement distincts sur la même infrastructure réseau physique. Les appareils situés sur des VLAN différents ne peuvent pas communiquer entre eux sans routeur, ce qui assure une segmentation du réseau et une isolation de sécurité.

Les meilleures pratiques de sécurité et la conformité PCI DSS exigent que le SSID invité soit placé sur son propre VLAN, complètement isolé des réseaux d'entreprise, de gestion et de point de vente. Cela empêche les appareils invités d'accéder aux ressources internes.

WISPr (Wireless Internet Service Provider Roaming)

Un protocole standard de l'industrie qui définit comment un appareil client découvre et s'authentifie auprès d'un Captive Portal de hotspot WiFi. Il utilise des redirections HTTP et des messages d'authentification basés sur XML pour gérer l'interaction avec le portail.

La fonctionnalité de portail externe d'UniFi est basée sur les principes WISPr. La compréhension de ce protocole aide les ingénieurs réseau à résoudre les échecs de redirection et à comprendre pourquoi certains appareils clients (en particulier iOS et Android) se comportent différemment lors de la connexion à des réseaux avec Captive Portal.

Port Forwarding

Une technique de traduction d'adresses réseau (NAT) qui mappe un port externe sur un routeur ou un pare-feu vers une adresse IP et un port internes spécifiques, permettant à des services externes d'initier des connexions vers des appareils sur un réseau privé.

Si votre contrôleur UniFi est hébergé sur un réseau local, une règle de redirection de port doit être configurée pour permettre à la plateforme cloud Purple d'atteindre l'API du contrôleur. Le port requis est le 8443 pour les contrôleurs logiciels ou le 443 pour les contrôleurs matériels.

PurpleConnex

L'implémentation par Purple de la norme Passpoint (IEEE 802.11u), qui fournit une connexion WiFi sécurisée et fluide pour les utilisateurs récurrents à l'aide de l'authentification EAP-TTLS via un serveur RADIUS dédié. Elle élimine la nécessité pour les visiteurs récurrents de se réauthentifier via le Captive Portal.

PurpleConnex nécessite une configuration supplémentaire dans UniFi : un profil RADIUS pointant vers le serveur d'authentification de Purple et un SSID distinct compatible Passpoint. Il est particulièrement précieux dans les environnements de l'hôtellerie et du commerce de détail où les visiteurs récurrents sont fréquents.

Exemples concrets

Un hôtel-boutique de 250 chambres souhaite remplacer son WiFi invité basique et peu fiable par une expérience haut de gamme et personnalisée. Ses objectifs sont de capturer les adresses e-mail des clients pour le marketing post-séjour, de promouvoir son spa et son restaurant sur la page de connexion, et de garantir une connectivité fluide pour les clients disposant de plusieurs appareils. Leur infrastructure se compose d'une UniFi Dream Machine Pro et de 40 points d'accès UniFi U6 Pro.

Le déploiement recommandé intègre la UDM Pro à Purple via la méthode External Portal Server. Un nouveau SSID « Hotel Guest WiFi » est créé avec une sécurité Open et attribué à un VLAN invité dédié (par exemple, le VLAN 20), qui est isolé par pare-feu des réseaux de gestion et de point de vente de l'hôtel. Le Hotspot Portal est activé et configuré pour utiliser Purple comme serveur de portail externe. Étant donné que la UDM Pro utilise le port 443, une règle de redirection de port est créée sur l'interface WAN de la UDM Pro, mappant le port TCP 443 à l'IP LAN de la UDM Pro. Un compte administrateur local dédié (« purple-api ») est créé sur la UDM Pro avec des privilèges de site complets. Dans le portail Purple, une page d'accueil personnalisée aux couleurs de la marque est conçue avec le logo de l'hôtel, un formulaire simple de capture d'e-mails avec une case à cocher de consentement GDPR, et une bannière bien visible faisant la promotion du spa avec un lien de réservation directe. Le Walled Garden est configuré pour inclure tous les domaines Purple, Facebook, Google et les points de terminaison CNA Apple. L'équipe marketing de l'hôtel a accès au tableau de bord analytique de Purple, ce qui lui permet de suivre le nombre quotidien de visiteurs, les heures de pointe de connexion et les taux de capture d'e-mails. Au cours du premier trimestre, l'hôtel capture en moyenne 180 nouvelles adresses e-mail par semaine, qui sont automatiquement synchronisées avec son CRM pour l'automatisation des campagnes post-séjour.

Commentaire de l'examinateur : Cette solution répond correctement à toutes les exigences. Le choix d'un Captive Portal externe plutôt que du portail intégré d'UniFi est la seule approche viable pour atteindre le niveau requis de personnalisation de marque, de capture de données et d'intégration CRM. La décision d'utiliser un compte d'administration local dédié (« purple-api ») plutôt que le super-administrateur principal est une bonne pratique de sécurité essentielle : elle limite la portée de l'accès à l'API et garantit que l'intégration n'est pas perturbée par des modifications apportées au compte principal. La segmentation VLAN protège les systèmes de point de vente et de gestion de l'hôtel du trafic réseau des invités, ce qui est une exigence PCI DSS. La configuration du port 443 pour la UDM Pro est un point de confusion fréquent pour les ingénieurs habitués aux contrôleurs logiciels ; cette distinction doit être clairement comprise avant le déploiement.

Une chaîne de vente au détail comptant 20 magasins à travers le Royaume-Uni, chacun équipé de points d'accès UniFi gérés par un seul contrôleur UniFi hébergé dans le cloud, souhaite utiliser les données du WiFi invité pour comprendre le comportement des clients. Le directeur des opérations doit mesurer la fréquentation, le temps de séjour et les taux de visiteurs récurrents dans tous les magasins afin d'orienter un programme de réaménagement de l'agencement des magasins et d'évaluer l'efficacité des campagnes promotionnelles en magasin.

Le contrôleur UniFi hébergé dans le cloud dispose déjà d'un nom d'hôte public, de sorte qu'aucune redirection de port n'est requise, ce qui simplifie considérablement le déploiement. Un seul SSID invité (« Brand WiFi ») est configuré et appliqué aux 20 sites via les capacités de gestion de site du contrôleur UniFi. Le Hotspot Portal est configuré pour utiliser le serveur de portail externe de Purple. Dans le portail Purple, chacun des 20 magasins est configuré comme un lieu distinct, ce qui permet des analyses granulaires au niveau du magasin. La page d'accueil est conçue pour une adoption maximale : un seul bouton « Se connecter » avec une brève notice de confidentialité, minimisant ainsi les frictions. Au sein de la plateforme analytique de Purple, le directeur des opérations peut consulter un tableau de bord comparatif montrant la fréquentation, le temps de séjour et les ratios de nouveaux visiteurs par rapport aux visiteurs récurrents pour chaque magasin. Après 90 jours de collecte de données, les analyses révèlent que trois magasins ont des temps de séjour nettement plus élevés que les autres, ce qui est corrélé à un agencement de magasin spécifique. Cette information oriente directement le programme de réaménagement de l'agencement, l'agencement performant étant déployé dans les 20 magasins. Une campagne promotionnelle est menée simultanément dans tous les magasins, et le tableau de bord Purple fournit une comparaison claire avant-après de la fréquentation et du temps de séjour, démontrant une augmentation mesurable de l'efficacité de la campagne.

Commentaire de l'examinateur : Ce scénario met en évidence la puissance d'un déploiement Purple centralisé et multi-sites. La décision architecturale clé est l'utilisation d'un seul contrôleur UniFi hébergé dans le cloud, ce qui élimine la complexité de la redirection de port présente dans les déploiements sur site et fournit un point de gestion unique pour les 20 sites. La conception de la page d'accueil avec connexion en un clic à faible friction est le choix correct pour un environnement de vente au détail où l'objectif principal est de maximiser le volume de collecte de données ; un formulaire de connexion complexe réduirait considérablement les taux d'adoption. La séparation de chaque magasin en tant que lieu distinct dans Purple est essentielle pour générer des informations exploitables au niveau du magasin plutôt que des données agrégées qui masquent les différences de performance entre les emplacements.

Questions d'entraînement

Q1. Un responsable informatique d'hôtel a terminé la configuration de l'intégration UniFi/Purple et l'a testée avec succès au bureau. Cependant, après le déploiement dans l'environnement réel de l'hôtel, les clients signalent que la page du Captive Portal se charge mais que le bouton « Se connecter avec Facebook » ne fonctionne pas. Quelle est la cause la plus probable et comment doit-elle être résolue ?

Conseil : Considérez les ressources que le bouton de connexion Facebook doit charger et faire fonctionner, et si ces ressources sont accessibles à un appareil invité avant l'authentification.

Voir la réponse type

La cause la plus probable est que les domaines de connexion Facebook ne sont pas inclus dans le Walled Garden (liste d'accès de pré-autorisation). Lorsqu'un appareil invité est en état « en attente », il ne peut accéder qu'aux domaines explicitement autorisés dans le Walled Garden. Le flux de connexion Facebook nécessite l'accès à facebook.com, fbcdn.net et aux domaines associés. La solution consiste à ajouter tous les domaines Facebook requis au Walled Garden dans les paramètres du UniFi Hotspot Manager. Purple fournit une liste mise à jour des domaines requis pour chaque fournisseur de connexion sociale. Après avoir mis à jour le Walled Garden, testez à nouveau le flux de connexion Facebook avec une nouvelle connexion d'appareil.

Q2. Un architecte réseau planifie un déploiement WiFi invité pour un centre de conférence de 5 000 places qui accueillera des événements comptant jusqu'à 3 000 utilisateurs WiFi simultanés. Le site utilise un contrôleur UniFi logiciel hébergé sur un serveur dans la salle des serveurs du site. Quelles sont les trois considérations d'infrastructure les plus critiques pour garantir que l'intégration de Purple reste fiable lors des pics d'événements ?

Conseil : Pensez aux points de défaillance uniques dans l'architecture d'intégration — que se passe-t-il si le contrôleur se déconnecte, si la connexion Internet est saturée ou si le matériel du contrôleur manque de puissance ?

Voir la réponse type

Les trois considérations les plus critiques sont : Premièrement, la disponibilité et les performances du contrôleur — le contrôleur UniFi est un composant critique dans chaque autorisation d'invité. Avec 3 000 utilisateurs simultanés, le contrôleur doit disposer de suffisamment de CPU et de RAM pour gérer la charge. Envisagez de passer à un serveur haut de gamme ou de migrer vers un contrôleur hébergé dans le cloud pour une redondance inhérente. Deuxièmement, la connectivité Internet et la fiabilité de la redirection de port — les appels API de Purple vers le contrôleur doivent traverser la connexion Internet du site. Assurez-vous que la règle de redirection de port se trouve sur un pare-feu résilient et que la connexion Internet a une capacité suffisante. Une connexion Internet secondaire avec basculement automatique est conseillée pour les événements critiques. Troisièmement, la gestion de la bande passante — avec 3 000 utilisateurs, appliquez des limites de débit strictes par utilisateur dans UniFi pour éviter l'épuisement de la bande passante. Sans limitation de débit, un petit nombre d'utilisateurs à forte consommation de bande passante peut dégrader l'expérience de tous les invités.

Q3. L'équipe juridique demande à un responsable informatique d'une chaîne de vente au détail de s'assurer que la collecte de données du WiFi invité est entièrement conforme au GDPR. La page d'accueil actuelle comporte un simple bouton « Se connecter » sans mécanisme de consentement explicite. Quelles modifications doivent être apportées à la configuration de Purple et quels processus opérationnels continus doivent être mis en œuvre ?

Conseil : Le GDPR exige une base légale pour le traitement des données personnelles, de la transparence sur la manière dont les données seront utilisées et des mécanismes permettant aux personnes concernées d'exercer leurs droits.

Voir la réponse type

Les modifications et processus suivants sont requis : Sur la page d'accueil, le bouton « Se connecter » doit être remplacé par un mécanisme d'opt-in explicite. Cela signifie ajouter une case à cocher de consentement clairement formulée (décochée par défaut) indiquant quelles données sont collectées, comment elles seront utilisées et avec qui elles seront partagées. Un lien vers la politique de confidentialité complète doit être affiché de manière bien visible. La base légale du traitement doit être le consentement explicite pour les communications marketing et l'intérêt légitime pour les analyses anonymisées. Dans le portail Purple, configurez les paramètres de conservation des données pour les aligner sur la politique de conservation des données de l'organisation — généralement pas plus de 24 mois pour les données marketing. Activez les outils GDPR de Purple pour gérer les demandes d'accès des personnes concernées (DSAR) et les demandes de droit à l'effacement. Sur le plan opérationnel, mettez en œuvre un processus d'examen trimestriel pour vous assurer que la politique de confidentialité reste exacte, que la formulation du consentement est à jour et que les paramètres de conservation des données sont appliqués. Tenez à jour un registre des activités de traitement (ROPA) pour la collecte de données du WiFi invité.

Q4. Un ingénieur réseau a configuré l'intégration UniFi/Purple en suivant toutes les étapes documentées. Lors des tests, l'appareil invité se connecte au SSID et est redirigé vers le portail Purple. L'invité s'authentifie avec succès, mais ne reçoit pas d'accès à Internet. Le portail Purple indique que l'authentification a réussi. Quel est le processus de diagnostic ?

Conseil : Si Purple affiche une authentification réussie mais que l'invité n'a pas d'accès à Internet, le problème réside dans le chemin de communication entre Purple et le contrôleur UniFi.

Voir la réponse type

Ce symptôme indique que l'appel API de Purple vers le contrôleur UniFi — l'appel qui fait passer l'appareil invité de l'état « en attente » à l'état « autorisé » — échoue. Le processus de diagnostic est le suivant : Premièrement, vérifiez que le contrôleur UniFi est accessible publiquement sur le bon port (8443 pour les logiciels, 443 pour le matériel) en essayant d'accéder à l'interface de gestion du contrôleur depuis un réseau externe ou en utilisant un outil de vérification de port en ligne. Deuxièmement, connectez-vous au portail Purple et vérifiez que l'IP/nom d'hôte du contrôleur et les identifiants de l'administrateur local sont corrects. Une erreur courante consiste à saisir l'IP LAN interne du contrôleur plutôt que son IP publique, ou à utiliser des identifiants de compte cloud au lieu d'identifiants d'administrateur local. Troisièmement, vérifiez le journal des événements du contrôleur UniFi pour détecter d'éventuelles erreurs d'authentification API ou des tentatives de connexion échouées à partir des adresses IP de Purple. Quatrièmement, vérifiez que la règle de pare-feu ou la redirection de port est correctement configurée et que les adresses IP sources de Purple ne sont pas bloquées par un équipement de sécurité en amont.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.