Cos'è una Splash Page WiFi?

Cos'è una Splash Page WiFi? — Un briefing informativo di Purple [INTRO — circa 1 minuto] Benvenuti al briefing informativo di Purple. Sono il vostro ospite e oggi parleremo di qualcosa che si trova proprio all'intersezione tra infrastruttura di rete ed esperienza del cliente: la splash page WiFi. Ora, se siete un IT manager, un architetto di rete o un direttore delle operazioni di una sede, avrete quasi sicuramente implementato una di queste soluzioni, o state per farlo. Ma c'è una sorprendente confusione sul mercato su cosa sia effettivamente una splash page, come si differenzi da un Captive Portal e, soprattutto, cosa ne separi una ben progettata da una che distrugge silenziosamente l'esperienza dei vostri ospiti e lascia sul tavolo rischi di conformità. Quindi entriamo nel vivo. Nei prossimi dieci minuti vi guiderò attraverso l'architettura tecnica, le decisioni chiave di progettazione, gli scenari di implementazione reali nel settore dell'ospitalità e della vendita al dettaglio e le trappole specifiche che colgono di sorpresa anche i team più esperti. Alla fine, avrete un quadro chiaro per valutare o riprogettare la vostra implementazione. [APPROFONDIMENTO TECNICO — circa 5 minuti] Iniziamo con i fondamentali. Una splash page WiFi, a volte chiamata pagina di destinazione WiFi per gli ospiti o pagina di login WiFi, è l'interfaccia web che un utente vede quando si connette per la prima volta a una rete wireless ospite e apre un browser. È la porta d'ingresso alla vostra esperienza WiFi per gli ospiti. Ma è qui che la terminologia si confonde. Una splash page non è la stessa cosa di un Captive Portal, anche se i due termini vengono usati in modo intercambiabile nelle conversazioni informali. Permettetemi di essere preciso su questo punto, perché è importante dal punto di vista architetturale. Un Captive Portal è il meccanismo a livello di rete, il componente infrastrutturale che intercetta il traffico HTTP non autenticato, esegue un reindirizzamento DNS e mantiene il dispositivo in uno stato di rete limitato fino al completamento dell'autenticazione. Opera al livello due e al livello tre del modello OSI. Coinvolge il controller di accesso, il server RADIUS se si esegue l'802.1X, la configurazione della VLAN e il risolutore DNS. Il Captive Portal è il guardiano. La splash page, al contrario, è il livello di presentazione, la pagina web che il Captive Portal serve all'utente. È l'HTML, il CSS e il JavaScript che l'ospite vede e con cui interagisce effettivamente. Contiene il vostro branding, le opzioni di autenticazione, il modulo di acquisizione dati, il meccanismo di consenso GDPR e i termini di servizio. Quindi, per dirla in parole semplici: il Captive Portal è la serratura; la splash page è la porta. Sono necessari entrambi, ma svolgono funzioni fondamentalmente diverse e sono gestiti da team diversi: gli ingegneri di rete possiedono l'infrastruttura del portale, mentre il marketing e l'IT possiedono congiuntamente l'esperienza della splash page. Ora, come funziona tecnicamente? Quando un dispositivo si connette al vostro SSID ospite, viene inserito in una VLAN limitata, che chiameremo VLAN di pre-autenticazione. Le query DNS vengono intercettate e risolte con l'indirizzo IP del controller del vostro Captive Portal. Qualsiasi richiesta HTTP (e si noti che questo è il motivo per cui la navigazione solo HTTPS ha creato alcune sfide interessanti per il rilevamento del Captive Portal) viene reindirizzata tramite una risposta 302 all'URL della splash page. Il sistema operativo del dispositivo, sia esso iOS, Android o Windows, ha un meccanismo di rilevamento del Captive Portal integrato. I dispositivi Apple eseguono il ping di captivenetwork.apple.com; i dispositivi Android contattano connectivitycheck.gstatic.com. Quando queste richieste restituiscono una risposta imprevista, il sistema operativo sa di trovarsi dietro un Captive Portal e mostra automaticamente la richiesta di login. Una volta che l'utente completa il flusso della splash page (che si tratti di inserire un indirizzo e-mail, autenticarsi tramite social login, accettare i termini o inserire un codice voucher), il controller del Captive Portal aggiorna l'indirizzo MAC o l'indirizzo IP del dispositivo nella sua tabella di autenticazione, lo sposta nella VLAN post-autenticazione e concede l'accesso completo a Internet. La sessione viene tracciata, in genere con un timeout configurabile e una policy di larghezza di banda applicata. Parliamo ora dei metodi di autenticazione, perché è qui che il valore aziendale inizia davvero a differenziarsi. Avete diverse opzioni. La più semplice è un click-through: l'utente accetta semplicemente i termini e ottiene l'accesso. Nessun dato acquisito, attrito minimo, ma anche valore minimo per l'azienda. Un passo avanti è la registrazione via e-mail, in cui si acquisisce un indirizzo e-mail verificato. C'è poi il social login (Facebook, Google, Apple ID) che offre un profilo più ricco e un'identità verificata, anche se si dipende dai flussi OAuth di terze parti e dalle policy di condivisione dei dati di tali piattaforme. E all'estremità più sofisticata, abbiamo la registrazione basata su moduli con campi personalizzati, integrazione con i programmi fedeltà e sincronizzazione con il CRM. La scelta del metodo di autenticazione ha un impatto diretto sulla qualità dei dati, sul tasso di conversione e sulla conformità. Un click-through garantisce tassi di connessione vicini al 100% ma zero dati di prima parte. Un modulo di registrazione dettagliato potrebbe far scendere il tasso di connessione al 60 o 70 percento, ma fornisce dati di marketing utilizzabili. Il punto di equilibrio per la maggior parte delle implementazioni aziendali è il social login o la registrazione via e-mail con una singola casella di controllo per l'opt-in di marketing: un attrito sufficientemente basso da mantenere un'elevata conversione e una qualità dei dati sufficientemente alta da essere commercialmente utile. Sul fronte della conformità, questo aspetto non è negoziabile. Se operate nel Regno Unito o nell'UE, si applica il GDPR. La vostra splash page deve presentare un meccanismo di consenso chiaro e affermativo per qualsiasi comunicazione di marketing. Le caselle preselezionate non costituiscono un consenso valido ai sensi dell'Articolo 7 del GDPR. L'informativa sulla privacy deve essere accessibile, non sepolta in un PDF di 40 pagine, e dovete essere in grado di dimostrare che il consenso è stato espresso liberamente, in modo specifico, informato e inequivocabile. Se vi trovate in un ambiente sanitario, dovrete anche considerare se i dati acquisiti possano costituire dati di categorie particolari ai sensi dell'Articolo 9. E se la vostra rete WiFi ospiti trasporta dati di carte di pagamento, anche indirettamente, l'estensione dell'ambito PCI DSS è un rischio reale che deve essere affrontato attraverso una corretta segmentazione della rete. [RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE — circa 2 minuti] Bene, parliamo di implementazione. Sia che stiate effettuando il roll-out in un hotel da 200 camere, in una catena di vendita al dettaglio con 50 filiali o in uno stadio da 40.000 posti, le decisioni architetturali che prenderete all'inizio determineranno il livello di difficoltà che incontrerete su scala. Primo: gestione in cloud rispetto a on-premise. Per le implementazioni multi-sito, le soluzioni di Captive Portal gestite in cloud sono quasi sempre la risposta corretta. Offrono una gestione centralizzata delle splash page, un branding coerente in tutte le sedi, analisi in tempo reale e la possibilità di inviare aggiornamenti senza toccare i singoli controller di accesso. Le soluzioni on-premise hanno il loro spazio (ambienti ad alta sicurezza, sedi con scarsa connettività WAN o organizzazioni con rigidi requisiti di residenza dei dati), ma i costi operativi sono significativamente più elevati. La piattaforma di Purple, ad esempio, opera come una soluzione gestita in cloud che si integra con l'infrastruttura di access point esistente indipendentemente dal fornitore, il che rappresenta un vantaggio significativo in ambienti multi-vendor. Secondo: non sottovalutate il problema della latenza di reindirizzamento. Uno dei reclami più comuni sui Captive Portal è che la splash page impiega troppo tempo a comparire. Ciò è solitamente causato da uno di questi tre fattori: tempi di risposta lenti del reindirizzamento DNS, la splash page stessa ospitata su un server sottodimensionato o, e questo è sempre più comune, la navigazione solo HTTPS che impedisce l'attivazione del reindirizzamento HTTP iniziale. I moderni sistemi operativi gestiscono ragionevolmente bene il rilevamento del Captive Portal, ma dovreste testare la vostra implementazione su iOS, Android, Windows e macOS prima del go-live, poiché il comportamento varia. Terzo: gestione della sessione. Decidete in anticipo quanto dura una sessione, cosa succede quando scade e se gli utenti che ritornano devono autenticarsi nuovamente. Per il settore dell'ospitalità, ha senso una sessione di 24 ore legata a una prenotazione di una camera. Per un ambiente di vendita al dettaglio, potreste desiderare una sessione più breve con una richiesta di nuova autenticazione che presenti un nuovo messaggio promozionale. Per uno stadio o un luogo di eventi, una sessione di un solo giorno è in genere appropriata. Queste non sono solo decisioni di UX, ma influiscono sul carico del server RADIUS e sulla qualità dei dati analitici. Ora passiamo alle trappole. La più grande che vedo nelle implementazioni aziendali è trattare la splash page come una risorsa da impostare e dimenticare. La vostra splash page è un canale di marketing attivo. Dovrebbe essere aggiornata stagionalmente, testata per il tasso di conversione e rivista per le modifiche di conformità, in particolare con l'evolversi delle linee guida del GDPR. La seconda trappola è una scarsa ottimizzazione per i dispositivi mobili. Oltre l'80% delle connessioni WiFi degli ospiti viene effettuato da smartphone. Se la vostra splash page non è completamente reattiva e non si carica in meno di tre secondi su una connessione 4G, state perdendo connessioni. La terza trappola è trascurare l'esperienza post-autenticazione. Cosa succede dopo che l'utente si è connesso? Atterra su una pagina di benvenuto personalizzata con un'offerta promozionale? O viene semplicemente indirizzato su qualsiasi sito stesse cercando di raggiungere? Quel momento post-connessione è un punto di contatto ad alta attenzione che la maggior parte degli operatori spreca completamente. [Q&A RAPIDO — circa 1 minuto] Esaminiamo rapidamente alcune domande che sento regolarmente dai team IT e operativi. "Possiamo usare i nostri access point esistenti?" — Nella maggior parte dei casi, sì. Le piattaforme di Captive Portal gestite in cloud come Purple si integrano con Cisco Meraki, Aruba, Ruckus, Ubiquiti e la maggior parte degli altri fornitori di AP aziendali tramite integrazione standard RADIUS o API. "Come gestiamo i dispositivi che non supportano il rilevamento del Captive Portal?" — Si configura un walled garden: una whitelist di indirizzi IP e domini accessibili prima dell'autenticazione. Questo garantisce che la splash page stessa sia sempre raggiungibile. "Abbiamo bisogno di un SSID separato per gli ospiti?" — Sì, sempre. Il traffico degli ospiti deve essere isolato dalla rete aziendale. Il requisito minimo è la segmentazione della VLAN; la best practice è una rete fisica o logica completamente separata con una propria uscita Internet. "E per quanto riguarda il WPA3?" — Il WPA3 è l'attuale standard per la sicurezza wireless e dovrebbe essere l'impostazione predefinita per qualsiasi nuova implementazione. Si noti che il WPA3 utilizza la Simultaneous Authentication of Equals, che modifica il comportamento dell'handshake; assicuratevi che il controller del vostro Captive Portal lo supporti. [RIASSUNTO E PROSSIMI PASSI — circa 1 minuto] Quindi, per concludere. Una splash page WiFi è l'interfaccia web interattiva e personalizzata che si trova davanti alla vostra rete WiFi ospiti. È il componente rivolto all'utente di un sistema di Captive Portal ed è contemporaneamente un meccanismo di controllo dell'accesso alla rete, uno strumento di acquisizione dati, un punto di controllo della conformità e un canale di marketing. Le decisioni chiave sono: metodo di autenticazione, campi dati, meccanismo di consenso, durata della sessione ed esperienza post-connessione. Se fate le scelte giuste, il vostro WiFi ospiti diventa una risorsa di dati di prima parte che genera un ROI di marketing misurabile. Se sbagliate, avrete una responsabilità in termini di conformità e un'esperienza ospite frustrante. Se state valutando o riprogettando la vostra implementazione, vi consiglio di iniziare con la piattaforma WiFi per ospiti di Purple: gestisce l'infrastruttura del Captive Portal, il builder della splash page, l'analitica e le integrazioni CRM in un'unica soluzione gestita in cloud. Nelle note dello show trovate un link alla pagina del prodotto WiFi per ospiti di Purple e alla loro guida sulle implementazioni di Captive Portal in cloud rispetto a quelle on-premise. Grazie per l'ascolto. Alla prossima.