Integrazione del login WiFi con WeChat: catturare l'engagement tramite i Captive Portal social

Questa guida illustra in dettaglio come integrare l'autenticazione WiFi di WeChat nei captive portal aziendali, coprendo l'architettura OAuth 2.0, l'integrazione RADIUS e la distribuzione passo-passo sull'hardware Cisco Meraki, HPE Aruba e Juniper Mist. Offre ai responsabili IT e agli architetti di rete un framework pratico per acquisire dati di prima parte dagli 1,3 miliardi di utenti di WeChat, stimolando al contempo l'engagement tramite i follow agli Account Ufficiali e i reindirizzamenti post-login.

📖 8 minuti di lettura📝 1,875 parole🔧 2 esempi pratici❓ 4 domande di esercitazione📚 10 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuti al Technical Briefing di Purple. Sono il vostro ospite e oggi approfondiremo un'integrazione fondamentale per le location che desiderano catturare l'engagement di un target demografico enorme: l'integrazione del login WeChat WiFi tramite i Captive Portal social.

Se siete IT manager, network architect o direttori operativi di un hotel, di una catena retail o di uno spazio pubblico, conoscete bene la sfida. Desiderate offrire un Wi-Fi per gli ospiti senza attriti, ma il vostro team di marketing richiede dati di prima parte. I moduli di registrazione manuale causano abbandoni e i login social generici non sempre fanno centro con i visitatori internazionali, in particolare quelli provenienti dalla Cina, dove WeChat rappresenta l'ecosistema digitale dominante.

È qui che entra in gioco l'autenticazione WeChat WiFi. Trasforma un captive portal standard in uno strumento strategico di acquisizione dati. Oggi analizzeremo l'architettura tecnica, i passaggi di implementazione e i nodi cruciali da evitare.

Iniziamo dall'architettura. Come funziona concretamente?

L'autenticazione WeChat WiFi sostituisce il tradizionale inserimento manuale dei moduli con un flusso OAuth 2.0 integrato direttamente nell'esperienza del captive portal. Quando un ospite si connette alla vostra rete WiFi, l'access point o il controller LAN wireless intercetta il traffico e reindirizza l'utente a un captive portal ospitato sulla Purple Cloud Platform.

Invece di digitare un indirizzo e-mail, l'utente seleziona l'opzione di login WeChat. Questo attiva una chiamata API alla piattaforma aperta di WeChat. L'utente autorizza la connessione all'interno della propria app WeChat e WeChat restituisce un token di accesso e i dati del profilo utente (come OpenID, unionid, nickname e avatar) alla piattaforma Purple.

Purple segnala quindi al server RADIUS di inviare un messaggio di Access-Accept all'hardware di rete, concedendo l'accesso a Internet e applicando le policy configurate, come i limiti di larghezza di banda o l'assegnazione della VLAN. Si tratta di un handshake sicuro e trasparente tra cinque sistemi distinti, il tutto in meno di tre secondi dal punto di vista dell'utente.

Ora, di cosa avete bisogno per realizzare tutto questo? Ci sono quattro componenti chiave.

In primo luogo, il WeChat Official Account. È necessario disporre di un WeChat Service Account verificato, noto in cinese come Fuwuhao. Gli account di abbonamento non dispongono delle autorizzazioni API necessarie per l'integrazione OAuth. Questo è un requisito tassativo. Il Service Account fornisce l'AppID e l'AppSecret richiesti per la comunicazione API.

In secondo luogo, il Captive Portal stesso. Si tratta della splash page personalizzata con il brand che intercetta la sessione e presenta il pulsante di login WeChat. Deve essere ottimizzata per i dispositivi mobili e in grado di gestire correttamente l'URI di reindirizzamento OAuth.

In terzo luogo, l'Identity and Access Management. La piattaforma Purple funge da intermediario in questo contesto, gestendo lo scambio di token OAuth, mappando i dati del profilo WeChat sul vostro CRM e gestendo la comunicazione RADIUS. Questo è il livello intelligente che collega l'ecosistema WeChat alla vostra infrastruttura di rete.

E in quarto luogo, l'hardware di rete. Access point aziendali di fornitori come Cisco Meraki, HPE Aruba o Juniper Mist, configurati per reindirizzare il traffico non autenticato al Captive Portal esterno e applicare gli attributi di autorizzazione RADIUS.

Quindi, come implementiamo tutto questo? È un processo in tre fasi.

Fase uno: configurare l'account sviluppatore WeChat. Dovrai abilitare la funzione di autorizzazione della pagina web OAuth 2.0 nella piattaforma dell'account ufficiale WeChat. Registra il dominio del tuo Captive Portal come dominio di callback autorizzato. Questo garantisce che WeChat restituisca i codici di autorizzazione solo alla tua infrastruttura fidata. Successivamente, recupera il tuo AppID e AppSecret.

Fase due: configurare la piattaforma Purple. Passa alla configurazione dei metodi di autenticazione, abilita il social login di WeChat e inserisci il tuo AppID e AppSecret. Progetta la tua splash page per rendere ben visibile il login con WeChat. E, aspetto fondamentale, configura i reindirizzamenti post-autenticazione. Non limitarti a inviare gli utenti a una pagina di successo generica. Reindirizzali al profilo del tuo account ufficiale WeChat per incoraggiarli a seguirti, o a una landing page promozionale mirata.

Fase tre: configurazione dell'infrastruttura di rete. Sul controller wireless, configura l'SSID guest per l'autenticazione tramite Captive Portal esterno. Inserisci l'URL del Captive Portal di Purple. Ed ecco il passaggio di configurazione più importante: imposta le voci del walled garden, o whitelist. Devi inserire in whitelist i domini API e gli intervalli IP di WeChat in modo che il dispositivo dell'utente possa comunicare con WeChat prima di essere completamente autenticato sulla rete. Se salti questo passaggio, l'intero flusso si interrompe.

Ora parliamo di best practice e risoluzione dei problemi. Cosa può andare storto e come evitarlo?

Ho appena menzionato il walled garden. Un walled garden configurato in modo errato è la causa numero uno dei fallimenti di login con WeChat nelle distribuzioni di produzione. Se il dispositivo non riesce a raggiungere i server di WeChat prima dell'autenticazione, il flusso OAuth non può avviarsi. Assicurati che tutti i domini WeChat necessari siano accessibili prima dell'autenticazione. Testa questo aspetto a fondo prima di andare online.

Un altro problema comune è il disallineamento del reindirizzamento OAuth (OAuth Redirect Mismatch). Se l'URL di callback registrato in WeChat non corrisponde esattamente all'URL del tuo Captive Portal, WeChat bloccherà l'autorizzazione. I protocolli e i sottodomini devono corrispondere perfettamente. HTTPS rispetto a HTTP, con o senza barra finale: questi dettagli contano.

Inoltre, fai attenzione all'interferenza del Captive Portal Assistant. I sistemi operativi mobili utilizzano questi mini-browser per gestire le reti captive, ma spesso mancano di funzionalità complete e possono interferire con il richiamo dell'app WeChat. Potrebbe essere necessario implementare uno script di rilevamento JavaScript per forzare il login nel browser nativo del sistema.

Dal punto di vista strategico, non sprecare il coinvolgimento post-login. Spingi gli utenti a seguire il tuo account ufficiale, ad accedere a una mappa interna o a visualizzare un menu digitale. Mantienili coinvolti all'interno dell'ecosistema WeChat.

E sulla minimizzazione dei dati: richiedi solo i dati del profilo WeChat necessari per i tuoi obiettivi di marketing. Richiedere troppe autorizzazioni aumenta i tassi di abbandono e complica la conformità in materia di privacy.

A proposito di conformità, la raccolta di dati tramite WeChat deve essere conforme alle leggi regionali sulla privacy, tra cui il GDPR in Europa e la Personal Information Protection Law in Cina. Assicurati che i termini di servizio del tuo Captive Portal indichino chiaramente quali dati vengono raccolti, come vengono utilizzati e con chi vengono condivisi. Implementa meccanismi di consenso esplicito prima di avviare il flusso OAuth.

Ora passiamo a una sessione rapida di domande e risposte sulle domande che sentiamo più spesso.

Domanda: Posso usare un account di abbonamento WeChat? No. Hai bisogno di un account di servizio verificato. Punto.

Domanda: Devo inserire i domini WeChat nella whitelist su ogni access point? Sì. Il walled garden deve essere configurato a livello di SSID sul controller wireless.

Domanda: Per quanto tempo rimane valido il token di accesso di WeChat? I token di accesso di WeChat scadono dopo due ore. Assicurati che la tua piattaforma sia configurata per aggiornarli automaticamente.

Domanda: Quali dati ricevo effettivamente da WeChat? Ricevi l'OpenID dell'utente, il suo unionid se ha autorizzato più app, il suo nickname, l'URL dell'immagine del profilo e la città e il paese registrati. Non ricevi il suo numero di telefono o indirizzo email direttamente da WeChat.

Quindi, per riassumere, ecco i cinque punti chiave del briefing di oggi.

Uno: l'autenticazione WeChat WiFi utilizza OAuth 2.0 per sostituire l'inserimento manuale dei moduli con un accesso con un solo tocco, aumentando i tassi di completamento dal 20 al 30 percento.

Due: un account di servizio WeChat verificato è obbligatorio. Gli account di abbonamento non funzioneranno.

Tre: la configurazione del walled garden sui tuoi access point è il passaggio più critico e più comunemente trascurato.

Quattro: i reindirizzamenti post-autenticazione al tuo account ufficiale convertono i visitatori transitori in follower digitali a lungo termine.

E cinque: assicurati che le tue informative sul consenso e sulla privacy coprano sia i requisiti GDPR che quelli PIPL prima di andare online.

Questo è il briefing tecnico sull'integrazione dell'accesso WeChat WiFi. Per saperne di più su strategia, analisi e conformità del WiFi per gli ospiti, visita purple dot ai. Grazie per l'ascolto.

Punti chiave

✓L'autenticazione WeChat WiFi utilizza OAuth 2.0 per sostituire i moduli manuali del Captive Portal con un accesso con un solo tocco, aumentando i tassi di completamento del 20-30% (dati interni Purple, 2024).
✓È obbligatorio un account di servizio WeChat verificato (服务号). Gli account di abbonamento non possono accedere alle API OAuth richieste.
✓La configurazione del walled garden sugli access point per inserire nella whitelist i domini delle API di WeChat è la fase di implementazione più critica e più comunemente trascurata.
✓Purple funge da intermediario OAuth, mappando i dati del profilo WeChat (OpenID, unionid, nickname) sul CRM della sede e segnalando a RADIUS di concedere l'accesso alla rete.
✓I reindirizzamenti post-autenticazione alla pagina di follow dell'account ufficiale WeChat convertono gli utenti WiFi temporanei in follower digitali a lungo termine raggiungibili tramite notifiche push.
✓La memorizzazione nella cache dell'indirizzo MAC elimina l'attrito dei login ripetuti per i visitatori di ritorno, registrando comunque la visita nella piattaforma di analisi.
✓Le implementazioni devono essere conformi sia al GDPR che alla PIPL cinese; il consenso esplicito deve essere acquisito prima dell'avvio del flusso OAuth.

Executive summary

L'integrazione del login WeChat WiFi trasforma un Captive Portal standard in un motore strategico di dati di prima parte per le strutture che accolgono visitatori cinesi e il più ampio ecosistema WeChat. Per i responsabili IT e gli architetti di rete, l'implementazione del login WeChat tramite OAuth 2.0 e RADIUS richiede il bilanciamento tra un accesso ospiti fluido e una raccolta dati sicura e conforme. Questa guida illustra in dettaglio l'architettura tecnica, i passaggi di implementazione e le considerazioni sulla sicurezza per l'attivazione dell'autenticazione WeChat WiFi su reti aziendali con hardware tra cui Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist. Mostra come la piattaforma Guest WiFi di Purple gestisca il flusso OAuth, mappi i dati del profilo sul tuo CRM e incentivi l'interazione tramite reindirizzamenti post-login al tuo account ufficiale WeChat.

WeChat conta oltre 1,3 miliardi di utenti attivi mensili, con i turisti cinesi che hanno speso circa 255 miliardi di dollari a livello internazionale nel 2023 (dati dell'Organizzazione Mondiale del Turismo). Per hotel, retail di lusso, aeroporti e centri congressi, offrire il login WeChat WiFi rappresenta un canale diretto verso questo target demografico. Purple opera in oltre 80.000 strutture attive e ha registrato 440 milioni di accessi nel 2024, offrendoci una visibilità diretta su ciò che funziona e ciò che fallisce nelle implementazioni di produzione.

Approfondimento tecnico

Come funziona l'autenticazione WeChat WiFi

L'autenticazione WeChat WiFi sostituisce l'inserimento manuale dei moduli con un flusso OAuth 2.0 integrato direttamente nell'esperienza del Captive Portal. La sequenza prevede cinque componenti che comunicano in un ordine definito:

Il dispositivo dell'ospite si connette all'SSID della struttura.
L'access point intercetta il traffico HTTP non autenticato e reindirizza il dispositivo al Captive Portal ospitato da Purple.
L'utente seleziona l'opzione di login WeChat sulla splash page.
Il portale avvia una richiesta di autorizzazione OAuth 2.0 all'API della piattaforma aperta di WeChat, passando l'AppID della struttura e un URI di reindirizzamento.
L'app WeChat si apre sul dispositivo e invita l'utente ad autorizzare la connessione.
WeChat restituisce un codice di autorizzazione all'URI di reindirizzamento.
La piattaforma Purple scambia il codice con un token di accesso e recupera i dati del profilo dell'utente: OpenID, unionid, nickname, avatar e posizione registrata.
Purple segnala al server RADIUS di inviare un messaggio di Access-Accept all'access point.
L'access point concede l'accesso a Internet e applica le policy configurate (assegnazione VLAN, limiti di larghezza di banda, timeout della sessione).
Il portale reindirizza l'utente all'account ufficiale WeChat della struttura o a una landing page mirata.

Requisiti del tipo di account

Questo è il punto di errore in assoluto più comune nelle distribuzioni WeChat WiFi. È necessario utilizzare un Service Account (服务号) WeChat verificato. Gli account di abbonamento (Subscription Account - 订阅号) non espongono le API di autorizzazione della pagina web OAuth 2.0 necessarie per l'integrazione con il Captive Portal. La tabella seguente riassume le differenze principali:

Funzionalità	Service Account (服务号)	Subscription Account (订阅号)
Login WiFi tramite OAuth 2.0	Sì	No
Livello di accesso API	Completo	Limitato
Messaggi push al mese	4	30
Viene visualizzato come contatto	Sì	Raggruppato in una cartella
Integrazione WeChat Pay	Sì	No
Verifica richiesta	Sì	Sì

L'ottenimento di un Service Account verificato richiede una licenza commerciale cinese o una procedura speciale di richiesta all'estero tramite Tencent, che comporta una tariffa di verifica annuale di 99 $ e un periodo di revisione da due a quattro settimane.

Il walled garden: la configurazione di rete più critica

Un walled garden (chiamato anche whitelist di pre-autenticazione) definisce quali indirizzi IP e domini un dispositivo può raggiungere prima di aver completato l'autenticazione sul Captive Portal. Se i domini delle API di WeChat non sono inclusi nel walled garden, il dispositivo non può avviare l'handshake OAuth e il login fallisce in modo silenzioso.

Come minimo, i seguenti domini devono essere inseriti nella whitelist:

*.weixin.qq.com
*.wechat.com
*.wx.qq.com
res.wx.qq.com
mp.weixin.qq.com
Intervalli IP della CDN di WeChat (consultare la documentazione ufficiale degli intervalli IP pubblicata da Tencent, poiché questi variano periodicamente)

Su Cisco Meraki, configurare questi domini in Wireless > Access Control > Walled Garden. Su HPE Aruba, utilizzare la whitelist del Captive Portal Profile. Su Juniper Mist, configurare l'elenco dei domini consentiti nel Guest Portal.

Integrazione RADIUS e applicazione delle policy

Purple funge da proxy RADIUS in questa architettura. Dopo un corretto scambio OAuth di WeChat, Purple invia un messaggio RADIUS Access-Accept al controller wireless della sede. Il messaggio Access-Accept può contenere attributi RADIUS standard per applicare policy per singolo utente:

Tunnel-Type e Tunnel-Private-Group-ID per l'assegnazione della VLAN (isolando il traffico degli ospiti dalle reti aziendali, in linea con le best practice di segmentazione IEEE 802.1X)
Session-Timeout per la disconnessione automatica dopo un periodo definito
WISPr-Bandwidth-Max-Up e WISPr-Bandwidth-Max-Down per la limitazione della larghezza di banda

Questa architettura è indipendente dall'hardware. Purple si integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet senza richiedere modifiche al firmware o server locali aggiuntivi.

Guida all'implementazione

Passaggio 1: Configurare l'account sviluppatore WeChat

Accedi alla piattaforma WeChat Official Account all'indirizzo mp.weixin.qq.com. Vai su Settings > Security Centre > Webpage Authorisation. Abilita l'autorizzazione della pagina web OAuth 2.0 e aggiungi il dominio del tuo captive portal come dominio di callback autorizzato (ad es. wifi.yourvenue.com). WeChat restituirà i codici di autorizzazione solo ai domini registrati qui: una mancata corrispondenza causerà un errore silenzioso.

Recupera il tuo AppID e AppSecret dal pannello Development > Basic Configuration. Conserva l'AppSecret in modo sicuro; trattalo come una chiave privata.

Step 2: Configura Purple

Nel portale Purple, vai su Authentication > Social Login e abilita WeChat. Inserisci l'AppID e l'AppSecret. Progetta la splash page del captive portal utilizzando l'editor drag-and-drop di Purple. Rendi il pulsante di login di WeChat la call to action principale above the fold.

Configura il reindirizzamento post-autenticazione. Le opzioni includono:

La pagina di follow dell'Official Account WeChat della location (consigliata per l'engagement)
Una landing page promozionale ospitata all'interno di un Mini Program di WeChat
Una pagina di sondaggio che utilizza gli strumenti di WiFi Analytics di Purple
Una pagina di iscrizione al programma fedeltà

Abilita la memorizzazione nella cache dell'indirizzo MAC in Authentication > Return Visitor Settings. Imposta la durata della cache in base alla frequenza tipica delle visite (sette giorni per il retail, 30 giorni per l'hospitality). I visitatori di ritorno si connetteranno automaticamente senza visualizzare nuovamente il portale, mentre la loro visita verrà comunque registrata nella dashboard di analytics.

Step 3: Configura l'hardware di rete

Sul tuo controller wireless, configura l'SSID ospiti per utilizzare un captive portal esterno. Inserisci l'URL del portale Purple come URL della splash page. Aggiungi i domini WeChat al walled garden. Imposta gli indirizzi IP del server RADIUS e i shared secret forniti da Purple.

Testa l'intero flusso da un dispositivo mobile prima di andare online. Nello specifico:

Connettiti all'SSID ospiti.
Conferma che il captive portal si carichi nel mini-browser del Captive Portal Assistant (CPA).
Tocca il pulsante di login di WeChat e conferma che l'app WeChat si apra.
Autorizza la connessione e conferma che l'accesso a Internet sia concesso.
Conferma che il reindirizzamento post-login funzioni correttamente.

Best practice

Ottimizza il walled garden. Un walled garden configurato in modo errato è la causa numero uno dei fallimenti di login di WeChat in produzione. Testalo prima del lancio e ripeti il test dopo ogni aggiornamento del firmware di rete, poiché alcuni controller ripristinano le voci della whitelist durante gli aggiornamenti.

Incentiva l'engagement post-login. Il momento successivo all'autenticazione è il punto di massima attenzione nel percorso WiFi degli ospiti. Reindirizza gli utenti alla pagina di follow del tuo Official Account. Un ospite che segue il tuo account è raggiungibile tramite notifiche push molto tempo dopo aver lasciato la location. Implementa il caching dei MAC per i visitatori ricorrenti. Richiedere una nuova autenticazione a ogni visita peggiora l'esperienza utente. Il caching dei MAC elimina gli ostacoli per gli ospiti che ritornano, registrando comunque la visita a fini analitici. Consulta la sezione WiFi Analytics di Purple per i report sul tempo di permanenza e sulle visite di ritorno.

Applica la minimizzazione dei dati. Richiedi solo i campi del profilo WeChat effettivamente utilizzati dal tuo CRM. Richiedere autorizzazioni non necessarie aumenta il tasso di abbandono dell'autenticazione e aggiunge complessità alla conformità GDPR. Per la maggior parte delle strutture, OpenID, nickname e avatar sono sufficienti per la personalizzazione.

Segmenta il traffico degli ospiti tramite VLAN. Assegna gli ospiti autenticati tramite WeChat a una VLAN dedicata, isolata dalla rete aziendale o POS. Questo soddisfa i requisiti di segmentazione della rete PCI DSS e limita l'area di impatto di qualsiasi incidente di sicurezza lato ospite. Per una trattazione completa dell'architettura di sicurezza WiFi, consulta la nostra guida alla sicurezza WiFi aziendale .

Garantisci la conformità a GDPR e PIPL. Mostra un'informativa sulla privacy chiara sulla splash page prima che l'utente avvii il flusso OAuth di WeChat. L'informativa deve identificare il titolare del trattamento dei dati, elencare le categorie di dati raccolti da WeChat, indicare la base giuridica del trattamento e fornire un link all'informativa sulla privacy completa. Per indicazioni dettagliate, consulta la nostra guida alla conformità GDPR per il WiFi .

Risoluzione dei problemi e mitigazione dei rischi

Mancata corrispondenza del reindirizzamento OAuth

Se l'URL di callback registrato nella console sviluppatori di WeChat non corrisponde esattamente all'URL utilizzato da Purple per il reindirizzamento, WeChat restituisce un codice di errore e blocca l'autorizzazione. Verifica la presenza di discrepanze nei protocolli (HTTP rispetto a HTTPS), barre finali e differenze di sottodominio. Il dominio registrato deve corrispondere esattamente alla stringa.

Interferenza del Captive Portal Assistant (CPA)

I sistemi operativi mobili utilizzano un mini-browser CPA per rilevare e gestire le reti captive. Questi mini-browser spesso non sono in grado di aprire app native, il che interrompe il richiamo dell'app WeChat nel flusso OAuth. Le opzioni di mitigazione includono:

Implementare un reindirizzamento JavaScript che rilevi l'ambiente CPA e apra il browser di sistema completo prima di avviare il flusso OAuth.
Mostrare un'istruzione chiara sulla splash page che inviti gli utenti ad aprire la pagina nel browser completo se il pulsante WeChat non risponde.

Scadenza dei token e sessioni obsolete

I token di accesso di WeChat scadono dopo due ore. Se la tua piattaforma non aggiorna il token, il record CRM dell'utente smetterà di aggiornarsi dopo la sessione iniziale. Configura le impostazioni di aggiornamento dei token di Purple per mantenere attivi i token per tutta la durata del soggiorno dell'ospite.

Rischio geopolitico e normativo

WeChat è soggetto alle normative del governo cinese e alle policy della piattaforma Tencent. L'accesso alle API può essere sospeso o modificato senza preavviso. È possibile mitigare questo rischio assicurandosi che il Captive Portal supporti più metodi di autenticazione (e-mail, SMS, altri login social), in modo che un'interruzione delle API di WeChat non metta offline l'intero servizio WiFi per gli ospiti. Il portale multi-metodo di Purple supporta nativamente questa architettura di fallback.

ROI e impatto aziendale

L'implementazione dell'autenticazione WiFi tramite WeChat offre ritorni misurabili su tre fronti.

Aumento del tasso di acquisizione dati. Il login social riduce gli ostacoli alla compilazione dei moduli. Le location che utilizzano le opzioni di login social di Purple registrano tassi di completamento dell'autenticazione superiori del 20-30% rispetto ai portali equivalenti che richiedono solo l'e-mail (dati interni Purple, 2024). In una location che gestisce 500 connessioni WiFi di ospiti al giorno, un incremento del 25% significa 125 profili verificati in più acquisiti quotidianamente.

Crescita dei follower dell'Account Ufficiale. Il reindirizzamento degli utenti autenticati alla pagina di iscrizione dell'Account Ufficiale converte il passaggio temporaneo in un pubblico digitale raggiungibile. Un hotel con 200 ospiti autenticati tramite WeChat al giorno che ottiene un tasso di iscrizione del 40% aggiunge quotidianamente 80 nuovi follower all'Account Ufficiale: follower che possono ricevere notifiche push mirate su offerte per visite successive, aggiornamenti sui programmi fedeltà e promozioni stagionali.

Visibilità operativa. La piattaforma WiFi Analytics di Purple mappa le sessioni autenticate tramite WeChat in base al tempo di permanenza, alla frequenza delle visite e ai dati di movimento a livello di zona. Ciò fornisce ai direttori operativi delle location i dati necessari per ottimizzare il personale, il layout e la tempistica delle promozioni. Per le strutture del settore hospitality , questi dati si integrano direttamente con i sistemi PMS per arricchire i profili degli ospiti.

Per gli ambienti retail , la combinazione di autenticazione WeChat e della piattaforma di analytics di Purple replica la ricchezza di dati dell'e-commerce nel contesto di un negozio fisico, una capacità che diventa sempre più preziosa man mano che la dismissione dei cookie di terze parti riduce l'efficacia del retargeting digitale.

Per guide correlate, consulta la nostra guida alla conformità GDPR per il WiFi e la nostra guida alla sicurezza WiFi aziendale . Per scoprire come Purple si distribuisce in settori verticali specifici, visita le nostre pagine dedicate a hospitality , retail , healthcare e transport .

Definizioni chiave

OAuth 2.0

Un protocollo di autorizzazione standard del settore che consente a un utente di concedere a un'applicazione terza l'accesso ai dati del proprio account su un altro servizio senza condividere la password. Nell'autenticazione WeChat WiFi, il Captive Portal è l'applicazione terza e WeChat è l'identity provider.

Il meccanismo alla base di tutti i login social WiFi. I team IT lo incontrano durante la configurazione di AppID, AppSecret e URI di reindirizzamento nella console sviluppatori di WeChat e nella piattaforma Purple.

Captive portal

Una pagina web che intercetta il traffico di rete di un dispositivo e richiede all'utente di autenticarsi o accettare i termini prima di concedere l'accesso a Internet. Funziona reindirizzando tutte le richieste HTTP all'URL del portale fino al completamento dell'autenticazione.

La componente rivolta all'utente del sistema di login WeChat WiFi. Purple ospita e gestisce il Captive Portal come overlay cloud sopra l'hardware esistente della sede.

Walled garden

Una whitelist di pre-autenticazione di indirizzi IP e domini che un dispositivo può raggiungere prima di completare il login al Captive Portal. Necessario per consentire al dispositivo di comunicare con i server di autenticazione di WeChat durante il flusso OAuth.

L'elemento configurato in modo errato più comunemente nelle distribuzioni WeChat WiFi. Deve essere configurato a livello di SSID sul controller wireless.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce autenticazione, autorizzazione e tracciamento centralizzati per l'accesso alla rete. Dopo un interscambio OAuth WeChat andato a buon fine, Purple invia un messaggio RADIUS Access-Accept all'access point per concedere l'accesso a Internet.

Il protocollo che collega la piattaforma di identità Purple all'hardware di rete della sede. I team IT configurano gli indirizzi IP del server RADIUS e i segreti condivisi nel controller wireless.

WeChat Service Account (服务号)

Una categoria di WeChat Official Account progettata per le aziende, che offre l'accesso completo alle API, inclusa l'autorizzazione delle pagine web tramite OAuth 2.0. Viene visualizzato come contatto nell'elenco chat dell'utente. Richiede la registrazione aziendale in Cina o la verifica all'estero.

Il tipo di account obbligatorio per il login WeChat WiFi. Gli account di abbonamento non possono essere utilizzati per questo scopo.

OpenID

Un identificatore univoco assegnato da WeChat a uno specifico utente per uno specifico Official Account. Due diversi Official Account riceveranno OpenID diversi per lo stesso utente.

La chiave primaria utilizzata dal CRM per identificare e tracciare i singoli utenti nelle varie sessioni WiFi.

Unionid

Un identificatore univoco assegnato da WeChat a uno specifico utente per tutti gli Official Account e i Mini Program registrati sotto lo stesso account della piattaforma aperta WeChat. Consente il riconoscimento dell'utente su più prodotti.

Rilevante per i brand con più punti di contatto WeChat (ad esempio, una catena di vendita al dettaglio con un portale WiFi e un Mini Program per gli acquisti) che desiderano unificare il profilo utente in tutte le interazioni.

MAC address caching

Una funzionalità di rete che memorizza l'identificatore hardware univoco di un dispositivo (indirizzo MAC) dopo l'autenticazione iniziale, consentendo alla rete di concedere automaticamente l'accesso alle connessioni successive senza presentare nuovamente il Captive Portal.

Utilizzato per migliorare l'esperienza dei visitatori ricorrenti. Purple registra la nuova visita per scopi analitici anche quando il portale non viene visualizzato.

Captive Portal Assistant (CPA)

Il mini-browser avviato automaticamente da iOS e Android quando rilevano una rete che richiede l'autenticazione tramite Captive Portal. I CPA hanno funzionalità limitate e potrebbero non supportare i richiami alle app native richiesti per il flusso OAuth di WeChat.

I team IT devono testare il flusso di login di WeChat specificamente all'interno dell'ambiente CPA e implementare il rilevamento JavaScript per reindirizzare al browser di sistema completo, se necessario.

VLAN

Virtual Local Area Network. Un segmento di rete logico che isola il traffico da altri segmenti sulla stessa infrastruttura fisica. Utilizzato per separare il traffico WiFi degli ospiti dalle reti aziendali o POS.

Gli attributi RADIUS restituiti da Purple possono assegnare gli ospiti autenticati tramite WeChat a una specifica VLAN, soddisfacendo i requisiti di segmentazione della rete PCI DSS.

Esempi pratici

Un marchio di vendita al dettaglio di lusso a Londra desidera offrire un WiFi senza interruzioni ai turisti cinesi, aumentando al contempo i follower sul proprio Account Ufficiale WeChat. Attualmente utilizzano access point Cisco Meraki e un portale standard di acquisizione e-mail. Il loro team IT ha due settimane di tempo per implementare la soluzione prima di un'importante campagna per il Capodanno Cinese.

Settimana uno: registrare e verificare un Account di Servizio WeChat se non è già attivo (prevedere da due a quattro settimane per l'approvazione di Tencent, quindi questo passaggio dovrebbe essere iniziato prima; in caso contrario, utilizzare un'entità cinese terza verificata come misura provvisoria). Configurare la console per sviluppatori di WeChat con il dominio di callback corrispondente all'URL del portale Purple. Nella piattaforma Purple, abilitare il social login di WeChat, inserire l'AppID e l'AppSecret e progettare la splash page con WeChat come opzione di login principale. Configurare il reindirizzamento post-autenticazione alla pagina di follow dell'Account Ufficiale WeChat del brand. Settimana due: nella dashboard di Meraki, aggiornare l'SSID ospiti per puntare all'URL del portale Purple. Aggiungere tutti i domini API di WeChat al walled garden di Meraki in Wireless > Controllo Accessi. Configurare i dettagli del server RADIUS. Testare l'intero flusso end-to-end da un dispositivo iOS e Android. Abilitare il caching MAC per il riconoscimento dei visitatori di ritorno a 30 giorni. Avviare il servizio.

Commento dell'esaminatore: Questo approccio utilizza l'hardware Meraki esistente senza alcuna modifica al firmware. L'elemento critico del percorso è la verifica dell'account WeChat, che deve essere avviata con largo anticipo rispetto alla scadenza della campagna. Il reindirizzamento post-login alla pagina di follow dell'Account Ufficiale è la decisione di configurazione a più alto valore, poiché trasforma un login WiFi una tantum in un canale di marketing a lungo termine.

Uno stadio con una capienza di 15.000 persone ospita una serie di eventi internazionali con una presenza significativa di spettatori di lingua cinese. Il direttore IT riferisce che il 35% degli ospiti abbandona il modulo di login WiFi prima di completarlo. La rete utilizza access point HPE Aruba gestiti tramite Aruba Central.

Distribuire il Captive Portal di Purple con WeChat come opzione di social login principale, insieme a opzioni di fallback via e-mail e SMS. Configurare il profilo del Captive Portal di Aruba Central per reindirizzare a Purple e aggiungere i domini WeChat all'elenco dei consentiti. Implementare uno script di rilevamento CPA JavaScript sulla splash page per forzare il flusso OAuth nel browser di sistema nativo, bypassando il mini-browser CPA di Aruba. Configurare gli attributi RADIUS per assegnare i fan autenticati a una VLAN ospiti dedicata, isolata dalla rete operativa dello stadio. Impostare il timeout della sessione a quattro ore per coprire la durata tipica di un evento senza richiedere una nuova autenticazione. Post-autenticazione, reindirizzare i fan a un Mini Programma WeChat che ospita il programma dell'evento, i risultati in tempo reale e un servizio di ordinazione di cibo.

Commento dell'esaminatore: Lo script di rilevamento CPA è il fattore tecnico differenziante in questo caso. Senza di esso, il richiamo dell'app WeChat fallisce nel mini-browser e gli utenti visualizzano un'esperienza non funzionante. Il reindirizzamento al Mini Programma massimizza l'engagement post-autenticazione offrendo ai fan un valore immediato e pertinente, il che aumenta anche la probabilità che seguano l'Account Ufficiale della struttura.

Domande di esercitazione

Q1. Il nuovo login WeChat WiFi della tua sede non funziona. Gli ospiti toccano il pulsante WeChat sulla splash page, ma la pagina va in timeout prima che l'app WeChat si apra. La dashboard Cisco Meraki mostra che l'SSID è online e l'URL del portale Purple è configurato correttamente. Qual è la causa più probabile e come si risolve?

Suggerimento: Considera quale accesso alla rete ha il dispositivo prima di completare l'autenticazione.

Visualizza risposta modello

Il walled garden sull'SSID Meraki è configurato in modo errato. Il dispositivo non può raggiungere i domini API di WeChat prima dell'autenticazione, quindi l'handshake OAuth non può essere avviato. Soluzione: vai su Wireless > Access Control nella dashboard Meraki, individua la sezione Walled Garden e aggiungi i domini WeChat richiesti, inclusi *.weixin.qq.com, *.wechat.com e *.wx.qq.com. Esegui un test tentando nuovamente il flusso di accesso da un dispositivo che non si è mai connesso in precedenza all'SSID.

Q2. Un direttore marketing desidera utilizzare il proprio account di abbonamento WeChat esistente (订阅号) per abilitare l'accesso WiFi perché consente la pubblicazione quotidiana di articoli ai follower. Ti chiede di configurare l'integrazione. Come rispondi?

Suggerimento: Verifica i livelli di accesso API per i diversi tipi di account WeChat.

Visualizza risposta modello

Informa il direttore che un account di abbonamento non può essere utilizzato per l'autenticazione WiFi. Le API di autorizzazione della pagina web OAuth 2.0 richieste per l'integrazione con il Captive Portal sono disponibili solo per gli account di servizio verificati (服务号). Dovranno registrare un account di servizio. Ciò richiede una licenza commerciale cinese o una richiesta all'estero tramite la procedura speciale di Tencent, che richiede da due a quattro settimane e costa 99 dollari all'anno. L'account di abbonamento può rimanere attivo per la pubblicazione di contenuti; i due tipi di account servono a scopi diversi e possono coesistere.

Q3. Dopo una corretta implementazione di WeChat WiFi, il team IT nota che gli utenti che si sono autenticati tre settimane fa non compaiono più nel CRM con i dati di visita aggiornati, anche se si connettono alla rete. Qual è la causa probabile?

Suggerimento: Considera le impostazioni di gestione della sessione configurate in Purple e la durata della cache MAC.

Visualizza risposta modello

La durata della cache MAC è probabilmente impostata su un valore inferiore a tre settimane (ad esempio, 14 giorni), quindi agli utenti di ritorno viene concesso l'accesso tramite la cache MAC senza attivare un nuovo evento di autenticazione o un aggiornamento del CRM. In alternativa, il token di accesso WeChat per quegli utenti è scaduto e la piattaforma non lo sta aggiornando. Soluzione: estendi la durata della cache MAC a 30 giorni nelle impostazioni dei visitatori di ritorno di Purple e assicurati che la configurazione di aggiornamento del token sia attiva. Conferma inoltre che Purple stia registrando le visite memorizzate nella cache MAC come eventi di visita di ritorno nella dashboard di analisi, anche quando il portale non viene visualizzato.

Q4. La tua sede opera sia nel Regno Unito che nella Cina continentale. Desideri implementare un sistema di autenticazione WeChat WiFi unificato. Quali obblighi di conformità devi affrontare prima di andare online?

Suggerimento: Due regimi di privacy distinti si applicano alle due aree geografiche.

Visualizza risposta modello

Devi rispettare sia il GDPR (applicabile agli utenti nel Regno Unito e nell'UE) sia la legge cinese sulla protezione delle informazioni personali (PIPL, applicabile agli utenti nella Cina continentale). I requisiti chiave includono: mostrare un'informativa sulla privacy chiara sulla splash page prima di avviare il flusso OAuth, identificare il titolare del trattamento dei dati ed elencare le categorie di dati raccolti da WeChat, indicare la base giuridica del trattamento ai sensi di ciascun regime (legittimo interesse o consenso ai sensi del GDPR; consenso ai sensi della PIPL), fornire un meccanismo che consenta agli utenti di revocare il consenso e richiedere la cancellazione, e garantire che siano attivi meccanismi di trasferimento dei dati se i dati del profilo WeChat fluiscono tra le giurisdizioni. Consulta la guida alla conformità GDPR di Purple e il tuo consulente legale per i requisiti specifici della giurisdizione.

Continua a leggere questa serie

Come configurare un Captive Portal su Starlink: una guida per sedi remote e marittime

Questa guida spiega in dettaglio come escludere l'hardware nativo di Starlink e integrare un Captive Portal gestito in cloud utilizzando apparecchiature di routing aziendali. Imparerai come superare il limite del CGNAT, applicare la segmentazione VLAN, gestire i vincoli di larghezza di banda satellitare e garantire la conformità normativa.

Captive Portal Best Practices: Progettazione per Conversioni Elevate e Compliance

Questa guida tecnica offre a IT manager, architetti di rete e direttori operativi delle location un modello completo per l'implementazione di Captive Portal in grado di bilanciare la sicurezza di rete con un tasso elevato di conversione degli utenti. Copre l'intera architettura, dalla segmentazione VLAN e autenticazione RADIUS fino alla progettazione del consenso conforme al GDPR e alla selezione del metodo di autenticazione. Basata sull'esperienza operativa di Purple in oltre 80.000 location e 440 milioni di login nel 2024, ogni raccomandazione è fondata su dati reali di implementazione.

Come ottimizzare i Captive Portal per la massima sicurezza di rete e conversione degli utenti

Questa guida fornisce un progetto tecnico completo per l'ottimizzazione dei captive portal all'interno di strutture aziendali, coprendo l'architettura di segmentazione della rete, la selezione dei metodi di autenticazione, la progettazione del consenso conforme al GDPR e l'ottimizzazione delle conversioni. È scritta per IT manager, architetti di rete e CTO di hotel, catene di vendita al dettaglio, stadi e organizzazioni del settore pubblico che devono bilanciare la sicurezza della rete con l'acquisizione di dati di prima parte. Purple gestisce l'infrastruttura dei captive portal in oltre 80.000 sedi con 440 milioni di accessi nel 2024, e i framework qui presentati riflettono tale esperienza operativa.