Ubiquiti UniFi et WiFi invités : configuration du Captive Portal avec Purple

Bienvenue dans ce briefing technique Purple. Je suis votre hôte et, au cours des dix prochaines minutes, nous allons vous présenter un guide de haut niveau pour intégrer la plateforme d'intelligence WiFi de Purple aux réseaux Ubiquiti UniFi. Ce guide s'adresse aux responsables informatiques, aux architectes réseau et aux directeurs des opérations qui ont besoin de conseils concrets pour déployer une solution de WiFi invité de classe mondiale. Nous aborderons l'architecture de base, un plan de mise en œuvre étape par étape et les pièges courants à éviter. Situons le contexte. Vous disposez d'un réseau UniFi - il est puissant et évolutif, mais ses fonctionnalités natives de portail invité sont limitées. Votre organisation a besoin de plus qu'un simple mot de passe ; elle a besoin d'intelligence. Vous souhaitez comprendre le comportement des visiteurs, collecter des données à des fins marketing de manière conforme au GDPR et offrir une expérience utilisateur fluide et personnalisée. C'est précisément ce problème que résout l'intégration de Purple. Elle transforme votre infrastructure UniFi d'un simple fournisseur d'accès Internet en une source riche d'intelligence d'affaires. Le cœur de cette intégration repose sur la fonctionnalité d'External Portal Server d'UniFi. Lorsqu'un invité se connecte, le contrôleur UniFi ne gère pas l'authentification lui-même. Au lieu de cela, il redirige l'utilisateur vers la plateforme cloud de Purple, qui prend en charge l'ensemble du parcours d'authentification. Une fois que l'utilisateur s'est connecté via un compte de réseau social, un formulaire ou un bon de connexion, Purple effectue un appel API sécurisé vers votre contrôleur UniFi pour lui indiquer : "Cet utilisateur est authentifié, accordez-lui l'accès." C'est une architecture simple, robuste et hautement efficace. Passons maintenant aux détails techniques. Passons en revue les cinq étapes clés pour un déploiement réussi. Je vais être concis. Première étape : l'accessibilité du contrôleur. Votre contrôleur UniFi doit être accessible par la plateforme cloud de Purple. Cela signifie que vous devez disposer d'une adresse IP publique statique ou d'un nom d'hôte, et vous devez configurer une règle de redirection de port sur votre pare-feu. Il s'agit du port TCP 8443 pour les contrôleurs logiciels et du port 443 pour les équipements physiques comme l'UDM Pro ou la Cloud Key Gen2. Deuxième étape : le SSID invité. Dans votre application réseau UniFi, vous allez créer un nouveau réseau sans fil. Le paramètre crucial ici est que le protocole de sécurité doit être Open. C'est non négociable. C'est cet état ouvert qui permet la redirection vers le Captive Portal. Ne vous inquiétez pas, la sécurité est gérée par le portail et la segmentation du réseau, et non par une clé pré-partagée. Troisième étape : le Hotspot Portal. C'est ici que vous indiquez à UniFi d'utiliser Purple. Vous allez activer le Hotspot Portal et configurer le type d'authentification sur External Portal Server. Vous saisirez ensuite l'adresse IP spécifique et le domaine d'accès fournis par Purple. Une erreur clé à éviter ici est d'activer la redirection HTTPS. Purple gère la sécurité, cette option doit donc être désactivée. Étape quatre : le Walled Garden. C'est la partie la plus critique et la plus souvent mal comprise de la configuration. Le Walled Garden est votre liste blanche de pré-authentification. Vous devez ajouter tous les domaines de Purple, ainsi que les domaines de tous les fournisseurs de connexion sociale que vous souhaitez proposer, comme facebook.com. Si cette liste est incomplète, le portail ne se chargera tout simplement pas pour vos invités. C'est le premier endroit à vérifier en cas de problème. Étape cinq : le portail Purple. Enfin, vous vous connectez à votre compte Purple. Dans les paramètres de votre site, vous saisirez l'adresse publique de votre contrôleur UniFi et, surtout, les identifiants d'un compte administrateur local dédié - et non votre compte cloud Ubiquiti. C'est ce qui permet à Purple d'effectuer cet appel API crucial pour autoriser l'invité. Suivez ces cinq étapes et vous disposerez d'une solution de guest WiFi robuste et de classe entreprise. Parlons des recommandations d'implémentation et des pièges à éviter. Meilleure pratique numéro un : la segmentation du réseau. Votre SSID invité doit être sur son propre VLAN, complètement isolé de votre réseau d'entreprise. C'est non négociable pour la sécurité et la conformité PCI-DSS. Deuxièmement, utilisez la limitation de bande passante. UniFi vous permet de définir des limites de débit par utilisateur. Utilisez-les pour garantir une expérience équitable pour tous. Troisièmement, comme je l'ai mentionné, utilisez un compte administrateur local dédié pour l'API. Cela limite votre exposition en matière de sécurité. Le piège le plus courant est l'échec de la redirection - le portail ne se charge pas. Neuf fois sur dix, cela est dû à un Walled Garden incomplet. Le deuxième problème le plus courant est une connexion réussie, mais aucun accès internet. Cela indique directement un problème de communication entre Purple et votre contrôleur. Vérifiez vos règles de redirection de port et les identifiants d'administration dans le portail Purple. Place à une session de questions-réponses rapide. On me demande souvent : puis-je le faire avec une UDM Pro ? Oui, absolument. Le processus est identique, pensez simplement à utiliser le port 443. Que se passe-t-il si l'IP de mon contrôleur change ? Vous avez besoin d'une IP statique ou d'un nom d'hôte DNS dynamique. Si l'adresse change, l'intégration cessera de fonctionner. Quelle est la sécurité d'un SSID ouvert ? La sécurité est assurée par l'isolation des clients sur le point d'accès et les règles de pare-feu du VLAN. Le réseau invité est isolé. Pour une sécurité encore plus grande, nous pouvons déployer du WPA3-Enterprise avec RADIUS, ce que fait notre solution PurpleConnex.En résumé, intégrer Purple avec UniFi permet de faire passer votre WiFi invité d'un simple service à un actif stratégique. Il offre une business intelligence approfondie, de puissantes capacités de marketing et une expérience utilisateur professionnelle. La clé du succès réside dans une approche méthodique de la configuration : assurez un accès public au contrôleur, utilisez un SSID ouvert, configurez correctement le portail externe et le Walled Garden, et utilisez un administrateur local dédié pour l'API. En suivant ce guide, vous pouvez garantir un déploiement fluide, réussi et à forte valeur ajoutée. Pour des instructions écrites détaillées, étape par étape, et des diagrammes, veuillez vous référer au guide de référence technique complet sur notre site web. Merci d'avoir suivi ce briefing technique de Purple.