Come ottimizzare i Captive Portal per la massima sicurezza di rete e conversione degli utenti
Questa guida fornisce un progetto tecnico completo per l'ottimizzazione dei captive portal all'interno di sedi aziendali, coprendo l'architettura di segmentazione della rete, la selezione dei metodi di autenticazione, la progettazione del consenso conforme al GDPR e l'ottimizzazione delle conversioni. È scritta per IT manager, architetti di rete e CTO di hotel, catene di vendita al dettaglio, stadi e organizzazioni del settore pubblico che devono bilanciare la sicurezza della rete con l'acquisizione di dati di prima parte. Purple gestisce infrastrutture di captive portal in oltre 80.000 sedi con 440 milioni di accessi nel 2024, e i framework presentati qui riflettono questa esperienza operativa.
Ascolta questa guida
Visualizza trascrizione del podcast
- Sintesi Esecutiva
- Approfondimento Tecnico
- Come Funzionano Effettivamente i Captive Portal
- Segmentazione della Rete
- Mettere in Sicurezza il Bordo Wireless
- Guida all'implementazione
- Passo 1: Definire il Walled Garden
- Passo 2: Configurare l'integrazione RADIUS
- Passo 3: Scegliere i metodi di autenticazione
- Passo 4: Progettare i flussi di consenso
- Passaggio 5: Applica le Politiche di Banda tramite RADIUS VSA
- Best Practice
- Ottimizzazione del Tasso di Conversione
- Integrazione dell'Analisi Comportamentale
- Security Hardening
- Risoluzione dei Problemi e Mitigazione dei Rischi
- Il Portale Non Viene Visualizzato
- Randomizzazione dell'Indirizzo MAC
- Esaurimento di DHCP e DNS in Ambienti su Larga Scala
- Modifiche alle API dei Provider OAuth
- Ritorno sull'Investimento (ROI) e Impatto Aziendale

Sintesi Esecutiva
Un Captive Portal è la pagina di accesso sulle reti WiFi pubbliche. Rappresenta anche la decisione più importante per la sicurezza della tua rete; e se gestisci progetti di marketing, è il tuo canale di raccolta dati più prezioso. I due obiettivi di sicurezza e conversione non sono in conflitto, ma richiedono decisioni di configurazione diverse, e questa guida le analizza entrambe.
La sua architettura principale consiste nel collocare ogni dispositivo visitatore in una VLAN isolata prima che l'autenticazione sia completata. Un server RADIUS gestisce le sessioni e sblocca i dispositivi sulla VLAN di produzione tramite messaggi di Change of Authorization (CoA). La segmentazione della rete garantisce che il traffico degli ospiti non tocchi mai l'infrastruttura aziendale o i sistemi POS. In qualsiasi ambiente in cui i terminali di pagamento e il WiFi per gli ospiti condividono l'infrastruttura fisica, questo è un requisito rigido di PCI-DSS.
Sul fronte della conversione, per ogni campo del modulo aggiunto, i tassi di iscrizione diminuiscono dall'8% al 12%. Il metodo di autenticazione corretto dipende dal tipo di sede e dai tuoi obiettivi relativi ai dati. La raccolta di e-mail offre un tasso di conversione dal 65% all'80% e garantisce la proprietà dei dati di prima parte. Il login social tramite OAuth 2.0 riduce gli attriti ma introduce rischi di dipendenza da terze parti. L'OTP via SMS offre la massima qualità dei dati ma il tasso di conversione più basso. Per gli ambienti del settore pubblico senza obiettivi di marketing, l'accesso con un solo clic è la scelta corretta.
Purple gestisce infrastrutture di WiFi per gli ospiti in oltre 80.000 sedi. Le linee guida contenute in questo documento riflettono i 440 milioni di accessi elaborati nel 2024 (dati interni Purple, 2024).
Approfondimento Tecnico
Come Funzionano Effettivamente i Captive Portal
Dopo che un dispositivo si associa a un SSID, il Captive Portal intercetta le richieste HTTP e HTTPS. L'access point colloca il dispositivo in una VLAN isolata, in cui il firewall consente solo query DNS e un set limitato di destinazioni pre-approvate (il Walled Garden). Il sistema operativo del dispositivo rileva questo stato di restrizione interrogando URL noti (come captive.apple.com su iOS o connectivitycheck.gstatic.com su Android). Quando l'interrogazione restituisce una risposta anomala, il sistema operativo avvia automaticamente il portale.
L'utente si autentica. Il portale trasmette i risultati al server RADIUS della rete tramite un messaggio di CoA. Il controller di accesso rimuove la restrizione di isolamento, sposta il dispositivo nella VLAN di produzione e registra una sessione contenente timestamp, indirizzi MAC, identità e policy applicate. A seconda del metodo di autenticazione, questo processo end-to-end richiede da uno a dieci secondi.

Segmentazione della Rete
Una VLAN isolata è indispensabile. Senza di essa, i dispositivi non autenticati su un SSID aperto possono sondare la rete interna, accedere alle interfacce di gestione o toccare i sistemi di punto vendita (POS). Nei contesti soggetti a PCI-DSS (ovvero qualsiasi locale in cui i terminali per carte di pagamento e la WiFi per gli ospiti condividono l'infrastruttura fisica), il Payment Card Industry Data Security Standard v4.0 richiede il completo isolamento di rete tra l'ambiente dei dati dei titolari di carta e la rete dei clienti.
La segmentazione della rete viene implementata a livello di access controller. Su Cisco Meraki, viene configurata tramite i Group Policies; su HPE Aruba, tramite User Roles; su Ruckus, tramite la configurazione Zone; e su Juniper Mist, tramite le policy WLAN. Il principio è identico su tutte e quattro le piattaforme: ai dispositivi non autenticati viene applicata una policy restrittiva; ai dispositivi autenticati viene applicata una policy di produzione. Il server RADIUS ha la responsabilità di applicare questa transizione.
Per i locali con più tipologie di utenti (clienti, dipendenti, collaboratori esterni), distribuisci SSID separati e mappa ciascun SSID su una VLAN separata con regole di firewall e policy di larghezza di banda dedicate. Non tentare di servire tutte le tipologie di utenti da un unico SSID tramite un singolo Captive Portal. La complessità della gestione delle policy supererà di gran lunga qualsiasi presunta comodità.
Mettere in Sicurezza il Bordo Wireless
I Captive Portal operano al Layer 7 e non crittografano il collegamento wireless. Su un SSID aperto, il traffico tra il dispositivo e l'access point è non crittografato e visibile a qualsiasi dispositivo nel raggio radio.
Esistono tre modi per affrontare questo problema:
WPA3 con Captive Portal. WPA3-Personal fornisce la Simultaneous Authentication of Equals (SAE), che elimina gli attacchi a dizionario offline contro WPA2-PSK. Il Captive Portal si attiva comunque per l'autenticazione, ma il collegamento wireless è crittografato. Questo rappresenta lo standard minimo accettabile per le nuove installazioni nel 2026.
Passpoint (Hotspot 2.0) con 802.1X. Passpoint utilizza EAP-TLS o PEAP per fornire un'autenticazione basata su certificati o credenziali. Il Captive Portal gestisce la registrazione iniziale e la firma del consenso. Alla seconda visita, Passpoint autentica automaticamente il dispositivo in background utilizzando il profilo configurato, aggirando completamente il portale. Questa è l'architettura utilizzata dallo standard di roaming di livello carrier OpenRoaming. Per maggiori dettagli sui metodi EAP, consulta la nostra guida: EAP Method WiFi: A Guide to Secure Network Access .
iPSK (Identity Pre-Shared Key). L'iPSK assegna una password WPA2 o WPA3 univoca a ciascun utente o dispositivo tramite un portale. Questa password viene memorizzata nel server RADIUS e si mappa su una VLAN e una policy specifiche. Ciò fornisce crittografia personalizzata e tracciabilità su un SSID condiviso senza il sovraccarico infrastrutturale dovuto alla distribuzione del protocollo 802.1X completo. Questa è l'architettura standard per la WiFi multi-tenant nei contesti residenziali in affitto (build-to-rent) e negli alloggi per studenti. Per i dettagli sull'autenticazione basata su certificato, consulta WiFi Certificate Authentication: Secure Network Access .
Guida all'implementazione
Passo 1: Definire il Walled Garden
Prima di configurare il portale, mappa e verifica tutte le dipendenze esterne richieste per l'autenticazione. Se offri l'accesso social con Google, inserisci nella whitelist accounts.google.com e i domini di autenticazione Google associati. Se utilizzi Stripe per l'accesso a pagamento, inserisci nella whitelist gli endpoint API di Stripe. Se utilizzi il login Apple, inserisci nella whitelist appleid.apple.com.
La mancata gestione di un walled garden accurato è la causa principale dei problemi di visualizzazione del Captive Portal negli ambienti di produzione. Utilizza uno strumento di validazione del walled garden per generare regole copia e incolla per il tuo controller specifico. Purple offre un validatore di domini Walled Garden gratuito che genera regole pronte all'uso per i controller Cisco Meraki, Ubiquiti UniFi, HPE Aruba e Catalyst.
Passo 2: Configurare l'integrazione RADIUS
Integra il tuo controller di accesso con il tuo provider cloud RADIUS. Configura il controller per reindirizzare il traffico non autenticato all'URL del portale e specifica i server RADIUS per l'autenticazione e l'accounting. Assicurati che il segreto condiviso RADIUS sia composto da almeno 22 caratteri, contenga lettere maiuscole e minuscole, caratteri speciali e venga ruotato ogni 90 giorni.
Per le distribuzioni Cisco Meraki, configura i server RADIUS in "Wireless > Access Control". Per HPE Aruba, configura in "Security > Authentication Servers". Per Ruckus, configura in "Services > Authentication". Per Juniper Mist, configura in "Network > WLAN".
Passo 3: Scegliere i metodi di autenticazione

La tabella seguente mappa i tipi di location con i metodi di autenticazione consigliati e i tassi di conversione previsti.
| Tipo di location | Metodo consigliato | Conversione prevista | Dati raccolti |
|---|---|---|---|
| Hotel e hospitality | Raccolta email + Social Login | 65-80% | Email, nome, dati demografici opzionali |
| Retail | Raccolta email | 68-75% | Email, nome |
| Stadi ed eventi | SMS One-Time Passcode (SMS OTP) | 45-55% | Numero di cellulare verificato |
| Centri congressi | Social Login + Email | 60-70% | Email, profilo professionale |
| Settore pubblico | Click-through | 90-95% | Solo indirizzo MAC, timestamp |
| Sanità | Click-through | 90-95% | Solo indirizzo MAC, timestamp |
Fonte: Dati di rete Purple, 440 milioni di accessi, 2024.
Passo 4: Progettare i flussi di consenso
Separa il consenso richiesto per l'accesso alla rete dal consenso richiesto per le comunicazioni di marketing. In base al UK GDPR (la versione della legge del Regno Unito recepita dal Regolamento (UE) 2016/679), si tratta di due basi giuridiche distinte.
L'accesso alla rete può essere concesso sulla base di legittimi interessi ai sensi dell'Articolo 6(1)(f), coprendo l'amministrazione e la sicurezza della rete. Le comunicazioni di marketing richiedono il consenso esplicito ai sensi dell'Articolo 6(1)(a). Questo consenso deve essere prestato liberamente, specifico, informato e inequivocabile. Le caselle di controllo preselezionate non soddisfano questo standard.
Implementa due caselle di controllo indipendenti sul portale. La prima, obbligatoria, copre i Termini di Servizio e l'accesso alla rete. La seconda, opzionale e non selezionata di default, copre le iscrizioni al marketing. Registra il timestamp, l'indirizzo IP, l'indirizzo MAC e lo stato del consenso per ogni sessione. Questo registro di controllo è la tua prova di conformità in caso di verifiche normative.
Passaggio 5: Applica le Politiche di Banda tramite RADIUS VSA
Configura il server RADIUS per restituire gli attributi specifici del fornitore (VSA - Vendor-Specific Attributes) in caso di autenticazione riuscita. I VSA indicano all'access point di applicare limiti di banda specifici, filtri sui contenuti e timeout di sessione in base al profilo utente.
Su HPE Aruba, il VSA Aruba-User-Role assegna gli utenti a un ruolo denominato con politiche predefinite. Su Cisco Meraki, l'ID della politica di gruppo viene restituito tramite l'attributo Filter-Id. Su Ruckus, l'attributo Ruckus-User-Groups mappa gli utenti ai gruppi configurati. Questo meccanismo consente l'applicazione dinamica delle politiche senza configurare SSID separati per diversi livelli di utenti.
-
Best Practice
Ottimizzazione del Tasso di Conversione
La profilazione progressiva offre prestazioni migliori rispetto alla raccolta dati in una singola sessione. Richiedi un indirizzo email alla prima visita. Alla seconda visita, richiedi la data di nascita o il codice postale. Alla terza visita, chiedi le preferenze di marketing. Questo approccio mantiene alti i tassi di conversione costruendo al contempo profili più ricchi nel tempo.
Oltre l'85% delle interazioni con il Captive Portal avviene su dispositivi mobili (dati interni Purple, 2024). Progetta per schermi di piccole dimensioni. I pulsanti devono essere abbastanza grandi da essere toccati senza zoomare. Il testo deve essere leggibile con le dimensioni dei caratteri predefinite. Il flusso di accesso deve essere completato entro tre tocchi.
Per le distribuzioni nel settore retail , integra il portale con il tuo CRM o con la piattaforma di fidelizzazione. Pizza Express ha utilizzato un Captive Portal personalizzato con il proprio brand per aggiungere 3,7 milioni di clienti al suo CRM in due anni, trasformando ogni connessione WiFi in un'iscrizione di marketing verificata (dati clienti Purple, Pizza Express). Il portale è diventato il canale principale per le iscrizioni ai programmi di fidelizzazione e il re-engagement promozionale.
Integrazione dell'Analisi Comportamentale
Le sessioni del Captive Portal sono la chiave di correlazione tra l'analisi dei punti vendita fisici e i sistemi di digital marketing. Ogni sessione autenticata genera un evento di affluenza con timestamp, tempo di permanenza e stato di visitatore ricorrente. Integrati con WiFi Analytics , questi dati guidano l'attribuzione dell'affluenza, la segmentazione demografica e la misurazione del ROI delle campagne.
Per saperne di più su come i dati comportamentali delle reti WiFi informano la gestione dei punti vendita, consulta Behavioral Analytics: Insights for WiFi Networks .
Security Hardening
Distribuisci i portali esclusivamente tramite HTTPS, utilizzando un certificato TLS valido emesso da un'Autorità di Certificazione (CA) affidabile. I portali HTTP espongono le credenziali degli utenti all'intercettazione e attivano avvisi di sicurezza del browser che compromettono i tassi di conversione. Implementa HTTP Strict Transport Security (HSTS) con un max-age minimo di 31536000 secondi. Implementa il rate limiting sugli endpoint di autenticazione. Senza limitazione della frequenza, il portale è vulnerabile ad attacchi di credential stuffing e brute-force contro i codici delle credenziali. Limita i tentativi di autenticazione a cinque per indirizzo IP al minuto.
Esegui penetration testing sull'applicazione del portale almeno una volta all'anno. Purple possiede la certificazione ISO 27001 e la certificazione Cyber Essentials, e si sottopone regolarmente a penetration testing di terze parti. Per le installazioni nei settori Sanità e Trasporti , i test trimestrali rappresentano lo standard appropriato.
Risoluzione dei Problemi e Mitigazione dei Rischi
Il Portale Non Viene Visualizzato
Questo è lo scenario di errore più comune. Il sistema operativo del dispositivo invia una sonda Captive Portal a un URL noto. Se il firewall blocca quel dominio, il sistema operativo non può rilevare lo stato captive e il portale non si avvierà mai automaticamente. Gli utenti dovranno navigare manualmente verso un URL non-HTTPS per attivare il reindirizzamento.
Controlla prima le impostazioni del Walled Garden. Assicurati che i seguenti domini siano accessibili prima dell'autenticazione: captive.apple.com, www.apple.com, connectivitycheck.gstatic.com, clients3.google.com e msftconnecttest.com. Questi sono gli URL di sonda utilizzati rispettivamente da iOS, Android e Windows.
Randomizzazione dell'Indirizzo MAC
iOS 14 e Android 10 hanno introdotto di default la randomizzazione dell'indirizzo MAC per singola rete. I dispositivi che ritornano presentano un nuovo indirizzo MAC a ogni connessione, interrompendo la persistenza della sessione. Il portale chiederà all'utente di autenticarsi nuovamente, richiedendo un nuovo accesso.
Mitiga questo problema distribuendo un profilo Passpoint al primo accesso. Questo profilo contiene le credenziali che il dispositivo utilizza per le connessioni successive, superando completamente l'identificazione basata su MAC. In alternativa, utilizza un flusso di autenticazione basato su app che si affida a token di identità memorizzati nell'app anziché sull'indirizzo MAC del dispositivo.
Esaurimento di DHCP e DNS in Ambienti su Larga Scala
Presso le grandi strutture (stadi, centri congressi, hub di trasporto), migliaia di dispositivi si connettono simultaneamente all'inizio di un evento o di una conferenza. Se il pool DHCP è troppo piccolo, i dispositivi non riescono a ottenere un indirizzo IP. Se il server DNS non è in grado di gestire il volume di query, le sonde Captive Portal falliscono e il portale non viene visualizzato.
Pianifica le dimensioni del pool DHCP in base alle connessioni simultanee di picco anziché alle medie. Per uno stadio da 60.000 posti, ipotizza 40.000 dispositivi simultanei. Alloca un pool DHCP di almeno 50.000 indirizzi e configura un tempo di lease breve (da 15 a 30 minuti) per recuperare rapidamente gli indirizzi. Distribuisci resolver DNS dedicati per la rete ospiti, separati dall'infrastruttura DNS aziendale.
Modifiche alle API dei Provider OAuth
I provider di login social modificano i termini delle loro API senza preavviso. Facebook ha progressivamente limitato i dati disponibili tramite la sua Graph API. Se il login social è il tuo unico metodo di autenticazione e un provider modifica i suoi termini, il tuo portale smetterà di funzionare per tutti gli utenti.
Distribuisci sempre almeno un metodo di autenticazione non-OAuth insieme al login social. La raccolta delle e-mail è il backup standard. Configura il monitoraggio degli endpoint di autenticazione OAuth per ricevere avvisi in caso di tassi di errore elevati, che spesso precedono o accompagnano una modifica delle API.
-
Ritorno sull'Investimento (ROI) e Impatto Aziendale
Se misurato esclusivamente in base alla spesa infrastrutturale, un Captive Portal rappresenta un centro di costo; ma se misurato in base al valore dei dati che raccoglie e ai programmi di marketing che abilita, si rivela una risorsa in grado di generare ricavi.
Un marchio retail con 500 negozi, che gestisce 10.000 accessi per negozio al mese con un tasso di opt-in del 65%, genererà 39 milioni di contatti CRM verificati all'anno. Utilizzando un modello prudente di attribuzione dei ricavi del marketing via e-mail di £0,10 per contatto all'anno, questo singolo canale di raccolta dati genera £3,9 milioni di ricavi attribuiti.
Per gli operatori del settore dell' Ospitalità , il portale rappresenta il primo punto di contatto nel percorso dell'ospite. Premier Inn e Whitbread utilizzano i dati del WiFi ospiti per alimentare i programmi di fidelizzazione e misurare la correlazione tra l'interazione con il WiFi e le prenotazioni ripetute (dati dei clienti Purple, Whitbread).
Per gli operatori di trasporto, il portale fornisce dati sui flussi di passeggeri che informano il leasing commerciale, le decisioni sul personale e le prestazioni delle concessioni. Manchester Airport Group (MAG) utilizza la WiFi analytics per misurare i tempi di sosta dei passeggeri nelle varie zone dei terminal e correla i dati delle sessioni WiFi con la spesa retail per passeggero (dati dei clienti Purple, MAG).
Tre metriche chiave definiscono il successo del portale: tasso di opt-in (punta a più del 60% per la raccolta e-mail), tasso di qualità dei dati (percentuale di indirizzi e-mail convalidati, punta a più dell'80%) e tasso di ritorno (percentuale di utenti ricorrenti che si autenticano senza reinserire le credenziali, punta a più del 70%).
La piattaforma di WiFi Analytics di Purple fornisce queste metriche in tempo reale per tutte le sedi, supportando la segmentazione per posizione, fascia oraria e coorte di utenti.
Definizioni chiave
Captive portal
Un'applicazione web che intercetta il traffico di rete dopo che un dispositivo si associa a un SSID, richiedendo l'interazione dell'utente (autenticazione, pagamento o accettazione dei termini) prima di consentire l'accesso a Internet.
Il meccanismo principale per la registrazione dei visitatori sulle reti WiFi pubbliche o per gli ospiti. Ogni dispositivo che si connette passa attraverso di esso, rendendolo la superficie di acquisizione dati più coerente in una sede fisica.
Walled garden
Un ambiente di rete limitato che consente l'accesso solo a specifici indirizzi IP o domini approvati prima dell'autenticazione.
Necessario per consentire ai dispositivi di raggiungere la pagina del captive portal, i server DNS e i servizi di autenticazione di terze parti necessari prima che venga concesso l'accesso completo a Internet. Una configurazione errata è la causa principale dei problemi di visualizzazione del portale.
RADIUS (Remote Authentication Dial-In User Service)
Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (accounting) per gli utenti che si connettono a un servizio di rete.
Il protocollo standard utilizzato dai captive portal per comunicare con gli access point e i controller. Ogni access point di livello enterprise di Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi supporta RADIUS.
Change of Authorisation (CoA)
Un'estensione RADIUS definita nella specifica RFC 5176 che consente a un server di modificare dinamicamente gli attributi di autorizzazione di una sessione attiva.
Utilizzato dal captive portal per istruire l'access controller a spostare un dispositivo dalla VLAN di quarantena alla VLAN di produzione immediatamente dopo il login avvenuto con successo, senza richiedere la riconnessione del dispositivo.
Passpoint (Hotspot 2.0)
Uno standard basato su IEEE 802.11u che consente ai dispositivi mobili di rilevare e connettersi automaticamente alle reti WiFi in modo sicuro utilizzando l'autenticazione 802.1X, senza interazione manuale con il portale.
L'approccio standard per l'autenticazione degli utenti ricorrenti nelle sedi enterprise. Il captive portal gestisce l'onboarding e l'acquisizione del consenso alla prima visita; Passpoint gestisce tutte le visite successive in modo invisibile e sicuro.
VLAN (Virtual Local Area Network)
Una sottorete logica che raggruppa dispositivi provenienti da diversi segmenti di rete fisici, imponendo l'isolamento del traffico a livello di collegamento dati.
Utilizzata per segmentare il traffico ospiti dal traffico aziendale. Senza la segmentazione VLAN, un dispositivo ospite sullo stesso switch fisico di un terminale di punto vendita può scansionarlo o attaccarlo.
iPSK (Identity Pre-Shared Key)
Un metodo di sicurezza in cui a ciascun utente o dispositivo viene assegnata una passphrase WPA2 o WPA3 unica per lo stesso SSID, memorizzata e applicata dal server RADIUS.
Fornisce crittografia individualizzata e applicazione di policy per singolo utente su un SSID condiviso senza il sovraccarico infrastrutturale di una distribuzione 802.1X completa. Architettura standard per il WiFi multi-tenant.
MAC address randomisation
Una funzione di privacy in iOS 14+, Android 10+ e Windows 10+ che genera un indirizzo MAC casuale per singola rete per impedire il tracciamento dei dispositivi tra reti diverse.
Interrompe la persistenza della sessione basata su MAC nei captive portal. Un dispositivo che ritorna presenta un nuovo indirizzo MAC, attivando la ri-autenticazione. Questo problema viene mitigato tramite profili Passpoint o token di identità basati su app.
Vendor-Specific Attribute (VSA)
Un attributo RADIUS nello spazio dei nomi specifico del fornitore (attributo 26) che trasmette istruzioni di policy specifiche per l'hardware dal server RADIUS all'access controller.
Utilizzato per assegnare limiti di larghezza di banda, ID VLAN, policy di filtro dei contenuti e timeout di sessione in modo dinamico in base al profilo dell'utente autenticato. Ciascun fornitore di hardware (Aruba, Meraki, Ruckus) definisce il proprio spazio dei nomi VSA.
Esempi pratici
Un hotel da 200 camere che utilizza access point HPE Aruba ha bisogno di un WiFi a più livelli: accesso gratuito di base per gli ospiti standard e accesso ad alta velocità per i membri del programma fedeltà. Come devono essere configurati il captive portal e la rete?
Distribuisci un unico SSID per gli ospiti in tutta la struttura. Configura il captive portal per integrarsi con il Property Management System (PMS) dell'hotel tramite API. Presenta due opzioni di autenticazione sul portale: "Accedi con numero di camera e nome" e "Accedi con credenziali fedeltà". Quando un membro del programma fedeltà si autentica, il portale interroga il PMS, verifica il livello e invia un RADIUS CoA al controller Aruba. La risposta RADIUS include un Aruba-User-Role VSA che assegna l'utente a un ruolo ad alta larghezza di banda (ad esempio, 50 Mbps in download, 20 Mbps in upload). Gli ospiti standard ricevono un ruolo predefinito con limite di velocità (5 Mbps in download, 2 Mbps in upload). Entrambi i tipi di utenti si connettono allo stesso SSID e VLAN, ma ricevono diverse policy di larghezza di banda applicate dal controller.
Una catena di vendita al dettaglio nazionale con 500 punti vendita desidera implementare il WiFi per gli ospiti per acquisire indirizzi email a scopo di marketing. Il team legale ha segnalato problemi di conformità al GDPR. Come deve essere progettato il flusso di consenso del portale?
Progetta un portale con un singolo campo di inserimento email. Sotto il campo, implementa due caselle di controllo distinte. Casella 1 (obbligatoria, deselezionata di default): "Accetto i Termini di servizio e l'Informativa sulla privacy. Comprendo che i dati del mio dispositivo saranno elaborati per fornire l'accesso alla rete." Casella 2 (opzionale, deselezionata di default): "Acconsento a ricevere comunicazioni di marketing, offerte e promozioni tramite email." Configura il backend per registrare il timestamp, l'indirizzo IP, l'indirizzo MAC e lo stato di entrambe le caselle di controllo per ciascuna sessione. Memorizza questa traccia di controllo del consenso in un archivio dati conforme al GDPR con un periodo di conservazione allineato al programma di marketing (in genere 24 mesi dall'ultima interazione). Integra gli indirizzi email provenienti dalle adesioni della Casella 2 direttamente nel CRM tramite API.
Domande di esercitazione
Q1. Un direttore IT di uno stadio riferisce che durante l'intervallo il captive portal non si carica per migliaia di utenti contemporaneamente, anche se la potenza del segnale WiFi è forte in tutta la struttura. Qual è il collo di bottiglia architetturale più probabile e quale la soluzione?
Suggerimento: Considera i servizi di cui un dispositivo ha bisogno prima ancora di poter richiedere la pagina del portale. La potenza del segnale non è il fattore limitante.
Visualizza risposta modello
Il collo di bottiglia più probabile è l'esaurimento del pool DHCP o il sovraccarico del risolutore DNS. Quando migliaia di dispositivi si connettono contemporaneamente, ognuno deve ottenere un indirizzo IP tramite DHCP e risolvere l'URL di verifica della connettività dell'OS tramite DNS prima che il portale possa caricarsi. Se il pool DHCP è sottodimensionato o il server DNS non è in grado di gestire il volume di query, il processo si blocca prima che l'utente veda alcunché. Soluzione: dimensionare il pool DHCP per le connessioni simultanee di picco (non medie), impostare un tempo di lease breve da 15 a 30 minuti per riciclare gli indirizzi e distribuire un risolutore DNS dedicato per la rete ospiti con capacità sufficiente per i tassi di query di picco.
Q2. Stai implementando un captive portal nella sala d'attesa di un ospedale. L'obiettivo principale è fornire l'accesso a internet a pazienti e visitatori. Non vi è alcun obiettivo di marketing. Quale metodo di autenticazione dovresti scegliere e quali sono le implicazioni di conformità?
Suggerimento: Bilancia l'attrito con il valore dei dati raccolti. Considera cosa succede quando raccogli dati personali che non ti servono.
Visualizza risposta modello
La scelta corretta è il Click-through (solo termini e condizioni). Offre una conversione dal 90 al 95% con il minimo attrito. Poiché non vi è alcun obiettivo di marketing, la raccolta di dati personali come gli indirizzi email introduce obblighi di conformità GDPR (base giuridica, minimizzazione dei dati, policy di conservazione, diritti di accesso dell'interessato) senza fornire alcun valore aziendale. In un ambiente sanitario, il rischio reputazionale di una violazione dei dati che coinvolga i dati personali di pazienti o visitatori è particolarmente significativo. Il Click-through limita la raccolta dei dati all'indirizzo MAC e alla marcatura temporale, il che è sufficiente per la gestione della rete ai sensi del legittimo interesse.
Q3. Un rivenditore desidera offrire il login social con Google e Apple sul proprio captive portal. La sua rete utilizza access point Cisco Meraki. Quale configurazione di rete è obbligatoria per il funzionamento del login social e qual è il rischio di fallback?
Suggerimento: In che modo il dispositivo raggiunge l'identity provider prima di avere accesso a internet? Cosa succede se il provider modifica i suoi termini?
Visualizza risposta modello
È necessario configurare il walled garden sul controller di accesso Meraki per inserire nella whitelist i domini di autenticazione per entrambi i provider: accounts.google.com e i relativi endpoint Google OAuth associati, e appleid.apple.com e i relativi endpoint di autenticazione Apple associati. Senza queste voci, la VLAN di quarantena bloccherà la richiesta OAuth e il login social fallirà in modo silenzioso. Il rischio di fallback è legato alla modifica delle API del provider: se Google o Apple modificano i propri termini OAuth o gli endpoint API, il flusso di autenticazione si interrompe per tutti gli utenti che si affidano a quel metodo. Implementa sempre l'acquisizione dell'email come opzione di autenticazione parallela, in modo che gli utenti dispongano di un fallback non OAuth.
Q4. L'operatore di un centro congressi desidera utilizzare l'OTP via SMS come metodo di autenticazione principale per un evento di tre giorni con una previsione di 8.000 login unici al giorno. Quali implicazioni di costo dovrebbero essere modellate prima di impegnarsi in questo metodo?
Suggerimento: La ricezione di OTP via SMS ha un costo per messaggio. Calcola il totale su scala e considera l'impatto sul tasso di conversione.
Visualizza risposta modello
Con 8.000 login al giorno per tre giorni, si elaborano 24.000 messaggi SMS. Con una tariffa tipica degli operatori del Regno Unito da 2 a 5 pence per messaggio, il costo è compreso tra £480 e £1.200 per l'evento. Se i partecipanti sono internazionali, i costi aumentano in modo significativo (fino a 10 - 15 pence per messaggio per alcuni mercati). Inoltre, i tassi di conversione degli OTP via SMS sono del 45 - 55%, il che significa che circa 4.400 - 4.800 degli 8.000 login previsti saranno completati. I restanti partecipanti avranno bisogno di un metodo alternativo. Modella il costo per messaggio, tieni conto del tasso di conversione e assicurati che sia disponibile un metodo di fallback (acquisizione dell'email o click-through) per gli utenti che non completano la verifica via SMS.
Continua a leggere questa serie
Captive Portal per Ruijie: come configurarlo con Purple guest WiFi
Come il cloud guest WiFi di Purple si integra con gli access point Ruijie serie RG utilizzando l'autenticazione web e RADIUS, configurati da riga di comando, e dove trovare i passaggi esatti di configurazione.
Progettazione di Captive Portal B2B: Raccolta dei Dati del Nome Registrato e dell'Azienda
Questa guida fornisce ai responsabili IT e ai gestori di sedi un framework tecnico indipendente dal fornitore per la progettazione di Captive Portal B2B. Dettaglia come strutturare i campi di registrazione per acquisire il nome registrato e i dati aziendali, garantendo tassi di completamento elevati pur mantenendo la conformità al GDPR e creando un'intelligence a livello di account.
Architettura Captive Portal: sicurezza, reindirizzamento e best practice
Un riferimento tecnico definitivo sull'architettura enterprise del captive portal. Questa guida analizza l'isolamento della rete, il reindirizzamento DNS, l'autenticazione RADIUS e la conformità della sicurezza per i responsabili IT che implementano reti WiFi ospiti sicure e ricche di dati.