Vai al contenuto principale

Integrazione del login WeChat WiFi: catturare l'engagement tramite Captive Portal social

Questa guida dettaglia come integrare l'autenticazione WeChat WiFi nei captive portal aziendali, coprendo l'architettura OAuth 2.0, l'integrazione RADIUS e la distribuzione passo dopo passo su hardware Cisco Meraki, HPE Aruba e Juniper Mist. Offre ai responsabili IT e agli architetti di rete un framework pratico per acquisire dati di prima parte dagli 1,3 miliardi di utenti di WeChat, guidando al contempo l'engagement tramite i follow agli account ufficiali e i reindirizzamenti post-login.

📖 8 minuti di lettura📝 1,875 parole🔧 2 esempi pratici4 domande di esercitazione📚 10 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuto al Technical Briefing di Purple. Sono il tuo presentatore e oggi approfondiremo un'integrazione fondamentale per le location che desiderano registrare il coinvolgimento di un vasto target demografico: l'integrazione del login WiFi WeChat tramite Captive Portal social. Se sei un IT manager, un network architect o un direttore operativo presso un hotel, una catena di negozi o un luogo pubblico, conosci bene la sfida. Desideri offrire un WiFi per gli ospiti senza attriti, ma il tuo team di marketing richiede dati di prima parte. I moduli di registrazione manuale causano abbandoni e i login social generici non sempre colgono nel segno per i visitatori internazionali, in particolare per quelli provenienti dalla Cina, dove WeChat è l'ecosistema digitale dominante. È qui che entra in gioco l'autenticazione WiFi WeChat. Trasforma un Captive Portal standard in uno strumento strategico di acquisizione dati. Oggi analizzeremo l'architettura tecnica, le fasi di implementazione e i problemi comuni da evitare. Iniziamo con l'architettura. Come funziona nel concreto? L'autenticazione WiFi WeChat sostituisce il tradizionale inserimento manuale dei moduli con un flusso OAuth 2.0 integrato direttamente nell'esperienza del Captive Portal. Quando un ospite si connette alla tua rete WiFi, il tuo access point o controller LAN wireless intercetta il traffico e reindirizza l'utente a un Captive Portal ospitato sulla Purple Cloud Platform. Invece di digitare un indirizzo email, l'utente seleziona l'opzione di login con WeChat. Questo avvia una chiamata API alla piattaforma aperta di WeChat. L'utente autorizza la connessione all'interno della propria app WeChat e WeChat restituisce un token di accesso e i dati del profilo utente - come OpenID, unionid, nickname e avatar - alla piattaforma Purple. Purple segnala quindi al tuo server RADIUS di inviare un messaggio di Access-Accept all'hardware di rete, concedendo l'accesso a Internet e applicando le policy configurate, come i limiti di larghezza di banda o l'assegnazione della VLAN. Si tratta di un handshake sicuro e trasparente tra cinque sistemi distinti, il tutto in meno di tre secondi dal punto di vista dell'utente. Ora, di cosa hai bisogno per realizzare tutto questo? Ci sono quattro componenti chiave. In primo luogo, l'account ufficiale WeChat. È necessario disporre di un account di servizio WeChat verificato, noto in cinese come Fuwuhao. Gli account di abbonamento non dispongono dei permessi API necessari per l'integrazione OAuth. Questo è un requisito tassativo. L'account di servizio fornisce l'AppID e l'AppSecret necessari per la comunicazione API. In secondo luogo, il Captive Portal stesso. Si tratta della pagina di benvenuto personalizzata con il brand che intercetta la sessione e presenta il pulsante di login WeChat. Deve essere ottimizzata per i dispositivi mobili e in grado di gestire correttamente l'URI di reindirizzamento OAuth. In terzo luogo, la gestione delle identità e degli accessi. La piattaforma Purple funge da intermediario in questo caso, gestendo lo scambio di token OAuth, mappando i dati del profilo WeChat sul tuo CRM e gestendo la comunicazione RADIUS. Questo è il livello intelligente che collega l'ecosistema WeChat alla tua infrastruttura di rete. E in quarto luogo, l'Hardware di Rete. Access point enterprise di fornitori come Cisco Meraki, HPE Aruba o Juniper Mist, configurati per reindirizzare il traffico non autenticato verso il Captive Portal esterno e applicare gli attributi di autorizzazione RADIUS. Quindi, come implementiamo tutto questo? È un processo in tre fasi. Fase Uno: Configurazione dell'account sviluppatore WeChat. Sarà necessario abilitare la funzione di autorizzazione della pagina web OAuth 2.0 nella piattaforma WeChat Official Account. Registra il dominio del tuo Captive Portal come dominio di callback autorizzato. Questo garantisce che WeChat restituisca i codici di autorizzazione solo alla tua infrastruttura fidata. Successivamente, recupera i tuoi AppID e AppSecret. Fase Due: Configurazione della piattaforma Purple. Naviga nella configurazione dei metodi di autenticazione, abilita il social login con WeChat e inserisci i tuoi AppID e AppSecret. Progetta la tua splash page per rendere visibile il login con WeChat. E, aspetto fondamentale, configura i reindirizzamenti post-autenticazione. Non limitarti a inviare gli utenti a una pagina di successo generica. Reindirizzali al profilo del tuo WeChat Official Account per incoraggiare i follow, oppure a una landing page promozionale mirata. Fase Tre: Configurazione dell'infrastruttura di rete. Sul tuo controller wireless, configura l'SSID guest per l'autenticazione tramite Captive Portal esterno. Inserisci l'URL del Captive Portal Purple. Ed ecco il passaggio di configurazione più importante: imposta le voci del walled garden, o whitelist. È necessario inserire in whitelist i domini e gli intervalli IP delle API di WeChat, in modo che il dispositivo dell'utente possa comunicare con WeChat prima di essere completamente autenticato sulla rete. Se salti questo passaggio, l'intero flusso si interrompe. Parliamo ora di best practice e risoluzione dei problemi. Cosa può andare storto e come evitarlo? Ho appena menzionato il walled garden. Un walled garden configurato in modo errato è la causa numero uno dei fallimenti di login con WeChat nelle distribuzioni di produzione. Se il dispositivo non riesce a raggiungere i server di WeChat prima dell'autenticazione, il flusso OAuth non può essere avviato. Assicurati che tutti i domini WeChat necessari siano accessibili prima dell'autenticazione. Esegui test approfonditi prima del rilascio definitivo. Un altro problema comune è il disallineamento del reindirizzamento OAuth (Redirect Mismatch). Se l'URL di callback registrato in WeChat non corrisponde esattamente all'URL del tuo Captive Portal, WeChat bloccherà l'autorizzazione. I protocolli e i sottodomini devono coincidere perfettamente. HTTPS rispetto a HTTP, con o senza barra finale - questi dettagli fanno la differenza. Inoltre, fai attenzione alle interferenze dell'assistente Captive Portal. I sistemi operativi mobili utilizzano questi mini-browser per gestire le reti captive, ma spesso non dispongono di funzionalità complete e possono interferire con la chiamata dell'app WeChat. Potrebbe essere necessario implementare uno script di rilevamento JavaScript per forzare il login nel browser nativo del sistema. Dal punto di vista strategico, non sprecare l'interazione post-login. Spingi gli utenti a seguire il tuo Official Account, ad accedere a una mappa interna o a visualizzare un menu digitale. Mantienili attivi all'interno dell'ecosistema WeChat. E in merito alla minimizzazione dei dati: richiedi solo i dati del profilo WeChat necessari per i tuoi obiettivi di marketing. Richiedere autorizzazioni eccessive aumenta i tassi di abbandono e complica la conformità in materia di privacy. A proposito di conformità, la raccolta dei dati tramite WeChat deve essere conforme alle leggi regionali sulla privacy, tra cui il GDPR in Europa e la Personal Information Protection Law in Cina. Assicurati che i termini di servizio del tuo Captive Portal specifichino chiaramente quali dati vengono raccolti, come vengono utilizzati e con chi vengono condivisi. Implementa meccanismi di consenso esplicito prima di avviare il flusso OAuth. Ora passiamo a una sessione rapida di domande e risposte sulle questioni che sentiamo più spesso. Domanda: Posso utilizzare un account di abbonamento WeChat? No. Hai bisogno di un account di servizio verificato. Punto. Domanda: Devo inserire i domini WeChat nella whitelist su ogni access point? Sì. Il walled garden deve essere configurato a livello di SSID sul controller wireless. Domanda: Per quanto tempo WeChat mantiene valido il token di accesso? I token di accesso di WeChat scadono dopo due ore. Assicurati che la tua piattaforma sia configurata per aggiornarli automaticamente. Domanda: Quali dati ricevo effettivamente da WeChat? Ricevi l'OpenID dell'utente, il suo unionid se ha autorizzato più app, il suo nickname, l'URL dell'immagine del profilo e la città e il paese di registrazione. Non ricevi il suo numero di telefono o indirizzo email direttamente da WeChat. Quindi, per riassumere, ecco i cinque punti chiave del briefing di oggi. Uno: l'autenticazione WeChat WiFi utilizza OAuth 2.0 per sostituire l'inserimento manuale dei moduli con un accesso con un singolo tocco, aumentando i tassi di completamento dal 20 al 30 percento. Due: un account di servizio WeChat verificato è obbligatorio. Gli account di abbonamento non funzioneranno. Tre: la configurazione del walled garden sui tuoi access point è il passaggio più critico e più comunemente trascurato. Quattro: i reindirizzamenti post-autenticazione al tuo account ufficiale convertono i visitatori transitori in follower digitali a lungo termine. E cinque: assicurati che le tue informative sul consenso e sulla privacy coprano sia i requisiti GDPR che quelli PIPL prima di andare online. Questo conclude il briefing tecnico sull'integrazione dell'accesso WeChat WiFi. Per saperne di più su strategia, analisi e conformità del guest WiFi, visita purple dot ai. Grazie per l'ascolto.

header_image.png

Sintesi per la direzione

L'integrazione del login WiFi con WeChat trasforma un Captive Portal standard in un motore strategico di dati di prima parte per i visitatori cinesi e per il più ampio ecosistema WeChat. Per i manager IT e gli architetti di rete, l'implementazione del login WeChat tramite OAuth 2.0 e RADIUS richiede il bilanciamento tra un accesso guest senza attriti e una raccolta dati sicura e conforme. Questa guida illustra in dettaglio l'architettura tecnica, le fasi di implementazione e le considerazioni sulla sicurezza per l'implementazione dell'autenticazione WiFi di WeChat sull'hardware di rete aziendale, inclusi Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist. Mostra inoltre come la piattaforma Guest WiFi di Purple gestisce il flusso OAuth, mappa i dati del profilo sul CRM aziendale e incentiva il coinvolgimento tramite reindirizzamenti post login all'account ufficiale WeChat.

WeChat conta oltre 1,3 miliardi di utenti attivi mensili e i dati dell'Organizzazione Mondiale del Turismo indicano che la spesa dei viaggiatori cinesi a livello internazionale nel 2023 era stimata in 255 miliardi di dollari. Per hotel, negozi di lusso, aeroporti e centri congressi, offrire il login WiFi con WeChat rappresenta un canale diretto verso questo target demografico. Purple opera in oltre 80.000 sedi attive e ha registrato 440 milioni di login nel 2024, offrendoci una visione diretta di ciò che funziona e ciò che fallisce nelle implementazioni di produzione.


Approfondimento tecnico

Come funziona l'autenticazione WiFi di WeChat

L'autenticazione WiFi di WeChat sostituisce l'inserimento manuale dei moduli con un flusso OAuth 2.0 integrato direttamente nell'esperienza del Captive Portal. La sequenza coinvolge cinque componenti che comunicano in un ordine prestabilito:

  1. Il dispositivo del guest si connette all'SSID della sede.
  2. L'access point (AP) intercetta il traffico HTTP non autenticato e reindirizza il dispositivo a un Captive Portal ospitato da Purple.
  3. L'utente seleziona l'opzione di login WeChat sulla pagina del portale.
  4. Il portale avvia una richiesta di autorizzazione OAuth 2.0 all'API della piattaforma aperta di WeChat, passando l'AppID della sede e l'URI di reindirizzamento.
  5. Il client WeChat si apre sul dispositivo e chiede all'utente di autorizzare la connessione.
  6. WeChat restituisce un codice di autorizzazione all'URI di reindirizzamento.
  7. La piattaforma Purple scambia il codice di autorizzazione con un token di accesso e recupera i dati del profilo dell'utente: OpenID, unionid, nickname, avatar e posizione registrata.
  8. Purple segnala al server RADIUS di inviare un messaggio di Access-Accept all'access point.
  9. L'access point concede l'accesso a Internet e applica le policy configurate (assegnazione VLAN, limiti di larghezza di banda, timeout di sessione).
  10. Il portale reindirizza l'utente all'account ufficiale WeChat della sede o a una landing page personalizzata.

authentication_flow_diagram.png

Requisiti per il Tipo di Account

Questo rappresenta il punto di errore singolo più comune nelle implementazioni di WeChat WiFi. È necessario utilizzare un Account di Servizio WeChat (服务号) verificato. Gli Account di Abbonamento non espongono le API di autorizzazione web OAuth 2.0 necessarie per l'integrazione del Captive Portal. La tabella seguente riassume le differenze principali:

Funzionalità Account di Servizio Account di Abbonamento
Login WiFi OAuth 2.0 No
Livello di accesso alle API Completo Limitato
Messaggi push al mese 4 30
Posizionamento nell'elenco chat Sì (come contatto) No (raggruppato nella cartella degli abbonamenti)
Integrazione WeChat Pay No
Verifica richiesta

L'ottenimento di un Account di Servizio verificato richiede una licenza commerciale cinese o una procedura di richiesta speciale all'estero tramite Tencent, che comporta una tariffa di verifica annuale di 99 $ e un periodo di revisione da due a quattro settimane.

Il Walled Garden: La Configurazione di Rete Più Critica

Il walled garden (noto anche come whitelist di preautenticazione) definisce gli indirizzi IP e i domini che un dispositivo può raggiungere prima di completare l'autenticazione sul Captive Portal. Se i domini delle API di WeChat non si trovano nel walled garden, il dispositivo non può avviare l'handshake OAuth e l'accesso non va a buon fine in modo silenzioso in background.

Come requisito minimo, i seguenti domini devono essere inseriti nella whitelist:

  • *.weixin.qq.com
  • *.wechat.com
  • *.wx.qq.com
  • res.wx.qq.com
  • mp.weixin.qq.com
  • Gli intervalli IP CDN di WeChat (consultare la documentazione degli intervalli IP pubblicata da Tencent, poiché variano periodicamente)

Su Cisco Meraki, configurare questa opzione in Wireless > Access Control > Walled Garden. Su HPE Aruba, utilizzare la whitelist del Captive Portal Profile. Su Juniper Mist, configurare l'elenco dei domini consentiti nel Guest Portal.

Integrazione RADIUS e Applicazione delle Policy

In questa architettura, Purple funge da proxy RADIUS. Dopo un processo di scambio OAuth WeChat andato a buon fine, Purple invia un messaggio RADIUS Access-Accept al controller wireless della sede. Il messaggio Access-Accept può contenere attributi RADIUS standard per applicare policy specifiche per ciascun utente:

  • Tunnel-Type e Tunnel-Private-Group-ID per l'assegnazione della VLAN (isolando il traffico ospiti dalla rete aziendale, in linea con le best practice di segmentazione 802.1X)
  • Session-Timeout per la disconnessione automatica dopo un periodo definito
  • WISPr-Bandwidth-Max-Up e WISPr-Bandwidth-Max-Down per la limitazione della larghezza di banda

L'architettura è indipendente dall'hardware. Purple si integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet senza modifiche al firmware o server locali.venue_deployment_overview.png


Guida all'implementazione

Passo 1: Configurare l'account sviluppatore WeChat

Accedi alla piattaforma WeChat Official Accounts (mp.weixin.qq.com). Naviga su Settings and Development > Security Centre > Web Authorisation Domains. Abilita l'autorizzazione web OAuth 2.0 e aggiungi il dominio del tuo Captive Portal come dominio di callback autorizzato (ad esempio, wifi.yourvenue.com). WeChat restituirà i codici di autorizzazione solo ai domini registrati qui - una mancata corrispondenza causa errori silenziosi.

Ottieni il tuo AppID e AppSecret dal pannello Settings and Development > Basic Configuration. Memorizza l'AppSecret in modo sicuro; trattalo come una chiave privata.

Passo 2: Configurare Purple

Nel portale Purple, naviga su Authentication > Social Login e abilita WeChat. Inserisci l'AppID e l'AppSecret. Progetta la splash page del Captive Portal utilizzando l'editor drag-and-drop di Purple. Posiziona il pulsante di accesso WeChat come invito all'azione (CTA) primario above the fold.

Configura il reindirizzamento post-autenticazione. Le opzioni includono:

  • La pagina di iscrizione all'account ufficiale WeChat della sede (scelta consigliata per l'engagement)
  • Una landing page promozionale ospitata all'interno di un WeChat Mini Program
  • Una pagina di sondaggio che utilizza gli strumenti di WiFi Analytics di Purple
  • Una pagina di iscrizione al programma fedeltà

Abilita il caching degli indirizzi MAC in Authentication > Return Visitor Settings. Imposta la durata della cache in base alla frequenza tipica delle visite (si consigliano 7 giorni per il retail, 30 giorni per gli hotel). I visitatori di ritorno si connettono automaticamente senza visualizzare nuovamente il portale, mentre la loro visita viene comunque registrata nella dashboard di analisi.

Passo 3: Configurare l'hardware di rete

Sul tuo controller wireless, configura l'SSID guest per utilizzare un Captive Portal esterno. Inserisci l'URL del portale Purple come URL della splash page. Aggiungi i domini WeChat al walled garden. Imposta l'indirizzo IP del server RADIUS e la chiave condivisa forniti da Purple.

Prima di andare online, testa il flusso completo con un dispositivo mobile. Nello specifico:

  1. Connettiti all'SSID guest.
  2. Verifica che il Captive Portal si carichi nel mini-browser del Captive Portal Assistant (CPA).
  3. Tocca il pulsante di accesso WeChat e verifica che il client WeChat si apra.
  4. Autorizza la connessione e verifica che l'accesso a internet sia consentito.
  5. Verifica che il reindirizzamento post-login si attivi correttamente.

Best Practice

Ottimizza il walled garden. Un walled garden configurato in modo errato è la causa principale dei fallimenti di accesso a WeChat in produzione. Effettua un test prima del lancio e ripeti il test dopo ogni aggiornamento del firmware di rete, poiché alcuni controller ripristinano le voci della whitelist durante gli aggiornamenti.

Promuovi l'interazione post-accesso. Il momento immediatamente successivo all'autenticazione è il punto di massima attenzione nell'esperienza WiFi per gli ospiti. Reindirizza gli utenti alla pagina di iscrizione del tuo Account Ufficiale. I visitatori che seguono il tuo account rimangono raggiungibili tramite notifiche push molto tempo dopo aver lasciato la struttura.

Implementa il caching dei MAC per i visitatori abituali. Richiedere una nuova autenticazione a ogni visita peggiora l'esperienza. Il caching dei MAC elimina gli ostacoli per i visitatori abituali pur registrando la visita ai fini analitici. Consulta la sezione di Purple dedicata a WiFi Analytics per i report sui tempi di permanenza e sulle visite di ritorno.

Applica la minimizzazione dei dati. Richiedi solo i campi del profilo WeChat effettivamente utilizzati dal tuo CRM. Richiedere autorizzazioni non necessarie aumenta il tasso di abbandono della procedura e aggiunge complessità alla conformità GDPR. Per la maggior parte delle strutture, OpenID, nickname e avatar sono sufficienti per la personalizzazione.

Isola il traffico degli ospiti tramite VLAN. Assegna gli ospiti autenticati tramite WeChat a una VLAN dedicata, isolata dalle reti aziendali o POS. Questo soddisfa i requisiti di isolamento della rete PCI DSS e limita la portata di eventuali incidenti di sicurezza lato ospite. Per una trattazione completa dell'architettura di sicurezza WiFi, consulta la nostra guida alla sicurezza WiFi aziendale .

Garantisci la conformità con GDPR e PIPL. Mostra un'informativa sulla privacy chiara sulla splash page prima che l'utente avvii il flusso OAuth di WeChat. L'informativa deve identificare il titolare del trattamento, elencare le categorie di dati raccolti da WeChat, indicare la base giuridica del trattamento e rimandare alla privacy policy completa. Per una guida dettagliata, consulta la nostra guida alla conformità GDPR per il WiFi .

-

Risoluzione dei problemi e mitigazione dei rischi

Discrepanza nel reindirizzamento OAuth

Se l'URL di callback registrato nella console per sviluppatori di WeChat non corrisponde esattamente all'URL utilizzato da Purple per il reindirizzamento, WeChat restituisce un codice di errore e blocca l'autorizzazione. Verifica la presenza di discrepanze nei protocolli (HTTP rispetto a HTTPS), barre finali e differenze nei sottodomini. Il dominio registrato deve corrispondere esattamente alla stringa.

Interferenza del Captive Portal Assistant (CPA)

I sistemi operativi mobili utilizzano i mini-browser CPA per rilevare e gestire le reti con Captive Portal. Questi mini-browser spesso non sono in grado di aprire le app native, interrompendo il passaggio all'app WeChat nel flusso OAuth. Le misure di mitigazione includono:

  • Implementare un reindirizzamento JavaScript che rilevi l'ambiente CPA e apra il browser di sistema completo prima di avviare il flusso OAuth.
  • Mostrare istruzioni chiare sulla splash page che invitino gli utenti ad aprire la pagina in un browser completo se il pulsante WeChat non risponde.

Scadenza del token e sessioni obsolete

I token di accesso WeChat scadono dopo due ore. Se la tua piattaforma non aggiorna il token, il record CRM dell'utente smette di aggiornarsi dopo la sessione iniziale. Configura le impostazioni di aggiornamento del token di Purple per mantenere un token attivo per tutta la durata della visita dell'ospite.

Rischi Geopolitici e Normativi

WeChat è soggetto alle normative del governo cinese e alle policy della piattaforma Tencent. L'accesso alle API può essere sospeso o modificato senza preavviso. Per mitigare questo rischio, assicura che il tuo Captive Portal supporti più metodi di autenticazione (e-mail, SMS, altri login social) in modo che un'interruzione delle API di WeChat non metta offline l'intera rete WiFi per gli ospiti. I portali multicanale di Purple supportano nativamente questa architettura di fallback.


ROI e Impatto Aziendale

La distribuzione dell'autenticazione WiFi tramite WeChat offre ritorni misurabili su tre dimensioni.

Tassi di acquisizione dati più elevati. Il login social elimina l'attrito della compilazione dei moduli. I punti vendita che utilizzano le opzioni di social login di Purple registrano tassi di completamento dell'autenticazione superiori del 20-30% rispetto a portali analoghi basati solo su e-mail (dati interni Purple, 2024). In una struttura che gestisce 500 connessioni WiFi ospiti al giorno, un incremento del 25% significa 125 profili verificati aggiuntivi acquisiti quotidianamente.

Crescita dei follower dell'Account Ufficiale. Il reindirizzamento degli utenti autenticati alla pagina di iscrizione dell'Account Ufficiale converte il traffico pedonale di passaggio in un pubblico digitale raggiungibile. Un hotel con 200 visitatori autenticati tramite WeChat al giorno che ottiene un tasso di iscrizione del 40% acquisisce 80 nuovi follower dell'Account Ufficiale al giorno - follower che possono ricevere notifiche push mirate su offerte per visite successive, aggiornamenti sul programma fedeltà e promozioni stagionali.

Visibilità operativa. La piattaforma di WiFi Analytics di Purple correla le sessioni autenticate tramite WeChat con il tempo di permanenza, la frequenza delle visite e i dati sui movimenti a livello di zona. Questo fornisce ai direttori operativi dei punti vendita i dati necessari per ottimizzare il personale, il layout e la pianificazione delle promozioni. Per le strutture ricettive del settore hospitality , questi dati si integrano direttamente con i sistemi PMS per arricchire i profili degli ospiti.

Per i contesti retail , l'autenticazione WeChat combinata con la piattaforma analitica di Purple replica la ricchezza di dati tipica dell'e-commerce in un ambiente di negozio fisico - una capacità che diventa sempre più preziosa man mano che la dismissione dei cookie di terze parti riduce l'efficacia del retargeting digitale.


Per una guida correlata, consulta la nostra guida alla conformità GDPR per il WiFi e la nostra guida alla sicurezza WiFi aziendale . Per scoprire come Purple si distribuisce in settori specifici, visita le nostre pagine dedicate a hospitality , retail , sanità e trasporti .

Definizioni chiave

OAuth 2.0

Un protocollo di autorizzazione standard del settore che consente a un utente di concedere a un'applicazione di terze parti l'accesso ai dati del proprio account su un altro servizio senza condividere la password. Nell'autenticazione WeChat WiFi, il Captive Portal è l'applicazione di terze parti e WeChat è l'identity provider.

Il meccanismo alla base di tutti i login social WiFi. I team IT lo incontrano quando configurano l'AppID, l'AppSecret e l'URI di reindirizzamento nella console per sviluppatori WeChat e nella piattaforma Purple.

Captive Portal

Una pagina web che intercetta il traffico di rete di un dispositivo e richiede all'utente di autorizzare o accettare i termini prima di concedere l'accesso a Internet. Funziona reindirizzando tutte le richieste HTTP all'URL del portale fino al completamento dell'autenticazione.

Il componente rivolto all'utente del sistema di accesso WiFi WeChat. Purple ospita e gestisce il Captive Portal come overlay cloud sopra l'hardware esistente della sede.

Walled garden

Una whitelist di pre-autenticazione di indirizzi IP e domini che un dispositivo può raggiungere prima di completare l'accesso al Captive Portal. Necessario per consentire al dispositivo di comunicare con i server di autenticazione di WeChat durante il flusso OAuth.

L'elemento configurato in modo errato più comune nelle distribuzioni WiFi WeChat. Deve essere configurato a livello di SSID sul controller wireless.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce autenticazione, autorizzazione e tracciamento centralizzati per l'accesso alla rete. Dopo uno scambio OAuth WeChat riuscito, Purple invia un messaggio RADIUS Access-Accept all'access point per concedere l'accesso a Internet.

Il protocollo che collega la piattaforma di identità Purple all'hardware di rete della sede. I team IT configurano gli indirizzi IP del server RADIUS e i secret condivisi nel controller wireless.

Account di Servizio WeChat (服务号)

Una categoria di Account Ufficiale WeChat progettata per le aziende, che offre l'accesso completo alle API, inclusa l'autorizzazione delle pagine web OAuth 2.0. Appare come un contatto nell'elenco chat dell'utente. Richiede la registrazione aziendale in Cina o la verifica all'estero.

Il tipo di account obbligatorio per l'accesso WiFi WeChat. Gli account di abbonamento non possono essere utilizzati per questo scopo.

OpenID

Un identificatore univoco assegnato da WeChat a uno specifico utente per uno specifico Account Ufficiale. Due diversi Account Ufficiali riceveranno OpenID diversi per lo stesso utente.

La chiave primaria utilizzata dal CRM per identificare e tracciare i singoli utenti tra le sessioni WiFi.

Unionid

Un identificatore univoco assegnato da WeChat a uno specifico utente in tutti gli Account Ufficiali e i Mini Programmi registrati sotto lo stesso account della piattaforma aperta WeChat. Consente il riconoscimento dell'utente tra diversi prodotti.

Rilevante per i brand con più punti di contatto WeChat (ad esempio, una catena di vendita al dettaglio con un portale WiFi e un Mini Programma di acquisto) che desiderano unificare il profilo utente in tutte le interazioni.

Caching degli indirizzi MAC

Una funzionalità di rete che memorizza l'identificatore hardware univoco di un dispositivo (indirizzo MAC) dopo l'autenticazione iniziale, consentendo alla rete di concedere automaticamente l'accesso alle connessioni successive senza presentare nuovamente il Captive Portal.

Utilizzato per migliorare l'esperienza dei visitatori ricorrenti. Purple registra la visita di ritorno per scopi analitici anche quando il portale non viene visualizzato.

Captive Portal Assistant (CPA)

Il mini browser avviato automaticamente da iOS e Android quando rilevano una rete che richiede l'autenticazione tramite Captive Portal. I CPA hanno funzionalità limitate e potrebbero non supportare i richiami alle app native richiesti per il flusso OAuth di WeChat.

I team IT devono testare il flusso di accesso WeChat specificamente all'interno dell'ambiente CPA e implementare il rilevamento JavaScript per reindirizzare al browser completo del sistema se necessario.

VLAN

Virtual Local Area Network. Un segmento di rete logico che isola il traffico da altri segmenti sulla stessa infrastruttura fisica. Utilizzato per separare il traffico WiFi degli ospiti dalle reti aziendali o POS.

Gli attributi RADIUS restituiti da Purple possono assegnare gli ospiti autenticati tramite WeChat a una VLAN specifica, soddisfacendo i requisiti di segmentazione della rete PCI-DSS.

Esempi pratici

Un marchio di vendita al dettaglio di lusso a Londra desidera offrire un servizio WiFi senza interruzioni ai turisti cinesi, aumentando al contempo i follower sul proprio account ufficiale WeChat. Attualmente utilizzano access point Cisco Meraki e un portale standard di acquisizione e-mail. Il loro team IT ha due settimane per implementare la soluzione prima di un'importante campagna per il Capodanno cinese.

Prima settimana: registrare e verificare un account di servizio WeChat se non è già attivo (prevedere da due a quattro settimane per l'approvazione di Tencent, quindi questa fase avrebbe dovuto iniziare prima - in caso contrario, utilizzare un'entità cinese di terze parti verificata come misura provvisoria). Configurare la console per sviluppatori WeChat con il dominio di callback corrispondente all'URL del portale Purple. Nella piattaforma Purple, abilitare il login social WeChat, inserire AppID e AppSecret e progettare la splash page con WeChat come opzione di login principale. Configurare il reindirizzamento post-autenticazione alla pagina di follow dell'account ufficiale WeChat del marchio. Seconda settimana: nella dashboard Meraki, aggiornare l'SSID guest per puntare all'URL del portale Purple. Aggiungere tutti i domini API di WeChat al walled garden di Meraki sotto Wireless > Controllo di accesso. Configurare i dettagli del server RADIUS. Testare l'intero flusso end-to-end da un dispositivo iOS e Android. Abilitare la memorizzazione nella cache del MAC per il riconoscimento dei visitatori di ritorno entro 30 giorni. Avviare il servizio.

Commento dell'esaminatore: Questo approccio utilizza l'hardware Meraki esistente senza alcuna modifica al firmware. L'elemento critico è la verifica dell'account WeChat - questa operazione deve essere avviata con largo anticipo rispetto alla scadenza di qualsiasi campagna. Il reindirizzamento post-login alla pagina di follow dell'account ufficiale è la decisione di configurazione di maggior valore, poiché converte un login WiFi una tantum in un canale di marketing a lungo termine.

Uno stadio con una capacità di 15.000 persone ospita una serie di eventi internazionali con una presenza significativa di spettatori di lingua cinese. Il direttore IT segnala che il 35% degli ospiti abbandona il modulo di login del WiFi prima di completarlo. La rete utilizza access point HPE Aruba gestiti tramite Aruba Central.

Distribuire il captive portal di Purple con WeChat come opzione di login social principale insieme a opzioni di backup via e-mail e SMS. Configurare il profilo del captive portal di Aruba Central per reindirizzare a Purple e aggiungere i domini WeChat all'elenco dei domini consentiti. Implementare uno script di rilevamento CPA JavaScript sulla splash page per forzare il flusso OAuth nel browser di sistema nativo, aggirando il mini-browser CPA di Aruba. Configurare gli attributi RADIUS per assegnare i fan autenticati a una VLAN guest dedicata, isolata dalla rete operativa dello stadio. Impostare il timeout della sessione a quattro ore per coprire la durata tipica di un evento senza richiedere una nuova autenticazione. Post-autenticazione, reindirizzare i fan a un programma WeChat Mini che ospita il programma dell'evento, i risultati in tempo reale e un servizio di ordinazione di cibo.

Commento dell'esaminatore: Lo script di rilevamento CPA è il fattore tecnico di differenziazione chiave in questo caso. Senza di esso, il richiamo dell'app WeChat fallisce nel mini-browser e gli utenti visualizzano un'esperienza interrotta. Il reindirizzamento al programma WeChat Mini massimizza l'engagement post-autenticazione offrendo ai fan un valore immediato e pertinente, il che aumenta anche la probabilità che seguano l'account ufficiale della struttura.

Domande di esercitazione

Q1. Il nuovo accesso WiFi WeChat della tua sede non funziona. Gli ospiti toccano il pulsante WeChat sulla splash page, ma la pagina va in timeout prima che l'app WeChat si apra. La dashboard Cisco Meraki mostra che l'SSID è online e l'URL del portale Purple è configurato correttamente. Qual è la causa più probabile e come si risolve?

Suggerimento: Considera quale accesso di rete ha il dispositivo prima di completare l'autenticazione.

Visualizza risposta modello

Il walled garden sull'SSID Meraki non è configurato correttamente. Il dispositivo non riesce a raggiungere i domini API di WeChat prima dell'autenticazione, impedendo l'avvio dell'handshake OAuth. Soluzione: accedere a Wireless > Controllo di accesso nella dashboard Meraki, individuare la sezione Walled Garden e aggiungere i domini WeChat richiesti, tra cui *.weixin.qq.com, *.wechat.com e *.wx.qq.com. Testare tentando nuovamente la procedura di accesso da un dispositivo che non si è mai connesso precedentemente all'SSID.

Q2. Un direttore marketing desidera utilizzare il proprio WeChat Subscription Account (订阅号) esistente per consentire l'accesso WiFi, in quanto permette la pubblicazione quotidiana di articoli ai follower. Ti chiede di configurare l'integrazione. Come rispondi?

Suggerimento: Verificare i livelli di accesso API per i diversi tipi di account WeChat.

Visualizza risposta modello

Informa il cliente che un Subscription Account non può essere utilizzato per l'autenticazione WiFi. Le API di autorizzazione delle pagine web OAuth 2.0 necessarie per l'integrazione con il Captive Portal sono disponibili solo per i Service Account (服务号) verificati. Sarà necessario registrare un Service Account. Ciò richiede una licenza commerciale cinese o una richiesta all'estero tramite la procedura speciale di Tencent, che richiede da due a quattro settimane e ha un costo annuo di 99 $. Il Subscription Account può rimanere attivo per la pubblicazione di contenuti; i due tipi di account servono a scopi diversi e possono coesistere.

Q3. Dopo una corretta implementazione di WeChat WiFi, il team IT nota che gli utenti che si sono autenticati tre settimane fa non compaiono più nel CRM con i dati di visita aggiornati, anche se si connettono alla rete. Qual è la causa probabile?

Suggerimento: Considerare le impostazioni di gestione della sessione configurate in Purple e la durata della cache MAC.

Visualizza risposta modello

La durata della cache MAC è probabilmente impostata su un valore inferiore a tre settimane (ad esempio, 14 giorni), pertanto agli utenti di ritorno viene concesso l'accesso tramite la cache MAC senza attivare un nuovo evento di autenticazione o un aggiornamento del CRM. In alternativa, il token di accesso WeChat per quegli utenti è scaduto e la piattaforma non lo sta aggiornando. Soluzione: estendere la durata della cache MAC a 30 giorni nelle impostazioni dei visitatori di ritorno di Purple e assicurarsi che la configurazione di aggiornamento del token sia attiva. Verificare inoltre che Purple registri le visite con cache MAC come eventi di visita di ritorno nella dashboard di analisi, anche quando il portale non viene visualizzato.

Q4. La tua struttura opera sia nel Regno Unito che nella Cina continentale. Desideri implementare un sistema di autenticazione WeChat WiFi unificato. Quali obblighi di conformità devi affrontare prima di andare online?

Suggerimento: Due distinti regimi di privacy si applicano alle due aree geografiche.

Visualizza risposta modello

È necessario rispettare sia il GDPR (applicabile agli utenti nel Regno Unito e nell'UE) sia la legge cinese sulla protezione delle informazioni personali (PIPL, applicabile agli utenti nella Cina continentale). I requisiti chiave includono: mostrare un'informativa sulla privacy chiara sulla splash page prima di avviare il flusso OAuth, identificare il titolare del trattamento dei dati ed elencare le categorie di dati raccolti da WeChat, indicare la base giuridica del trattamento ai sensi di ciascun regime (legittimo interesse o consenso ai sensi del GDPR; consenso ai sensi della PIPL), fornire un meccanismo che consenta agli utenti di revocare il consenso e richiedere la cancellazione, e garantire che siano attivi meccanismi di trasferimento dei dati qualora i dati del profilo WeChat fluiscano tra le giurisdizioni. Consultare la guida alla conformità GDPR di Purple e il proprio consulente legale per i requisiti specifici della giurisdizione.