Juniper Mist e guest WiFi: configurazione del captive portal con Purple

Benvenuto nel Purple Technical Briefing, dove esploriamo le integrazioni che alimentano esperienze WiFi per gli ospiti di livello mondiale. Oggi analizzeremo un'integrazione fondamentale per qualsiasi implementazione di livello enterprise: Juniper Mist e Purple WiFi. Introduzione e Contesto. Se sei un leader IT che gestisce una grande struttura - come hotel, catene di vendita al dettaglio, stadi o centri congressi - sai bene che il WiFi per gli ospiti non è più solo un optional. È un componente critico dell'infrastruttura. Hai bisogno di affidabilità, sicurezza e, soprattutto, di trarre un reale valore aziendale da essa. È qui che la combinazione tra la rete basata sull'intelligenza artificiale di Juniper Mist e la piattaforma di analisi e coinvolgimento di Purple brilla davvero. Juniper Mist è una delle piattaforme wireless gestite in cloud più sofisticate disponibili oggi. Basata su un'architettura a microservizi, utilizza l'apprendimento automatico per ottimizzare continuamente la gestione delle risorse radio, prevedere e risolvere i problemi di rete prima che gli utenti se ne accorgano, e fornire informazioni dettagliate sui livelli di servizio attraverso il suo framework Wi-Fi Assurance. È il tipo di infrastruttura di cui i team IT aziendali si fidano su larga scala. Purple, d'altra parte, è una piattaforma di intelligence per il WiFi degli ospiti di livello enterprise. Fornisce l'esperienza rivolta agli ospiti - il Captive Portal, il percorso di accesso, l'acquisizione dei dati - e poi trasforma tali dati in business intelligence fruibile. Pensa all'analisi del traffico pedonale, ai report sui tempi di permanenza, al tracciamento dei visitatori ricorrenti, all'integrazione CRM e all'automazione del marketing conforme al GDPR. Unendo queste due piattaforme si ottiene una combinazione potente: Mist fornisce la dorsale wireless robusta e intelligente, mentre Purple aggiunge l'esperienza dell'ospite, le informazioni sui dati e gli strumenti di conformità. In questo briefing vedremo come funziona questa integrazione dal punto di vista architetturale, come configurarla passo dopo passo e perché rappresenta un ritorno sull'investimento estremamente interessante per i gestori delle strutture. Approfondimento Tecnico. Entriamo quindi nel dettaglio tecnico. Come funziona effettivamente questa integrazione? È un sistema decisamente elegante. Al suo interno, utilizza la funzione "Forward to external portal" di Mist all'interno della configurazione WLAN. Quando un ospite si connette alla rete WiFi, l'access point Mist rileva che il dispositivo non è stato precedentemente autorizzato. Reindirizza quindi il browser dell'ospite a un URL del Captive Portal - un URL ospitato da Purple. Questo reindirizzamento non è un semplice caricamento di pagina. Mist aggiunge diversi parametri chiave all'URL di reindirizzamento. Questi includono l'identificatore WLAN, l'indirizzo MAC dell'access point a cui è connesso l'ospite, l'indirizzo MAC del dispositivo dell'ospite stesso e l'URL originale che l'ospite stava cercando di raggiungere. Questi parametri sono essenziali perché consentono alla piattaforma di Purple di sapere esattamente su quale rete si trova l'ospite e di autorizzare correttamente lo specifico dispositivo una volta completata l'autenticazione. Il Captive Portal stesso è completamente personalizzabile. Puoi brandizzarlo con il logo e i colori della tua location, configurarlo per supportare oltre venticinque lingue con il rilevamento automatico del dispositivo e scegliere tra una gamma di metodi di autenticazione - un semplice modulo e-mail, il login tramite social media con Facebook o Google, un codice di accesso precondiviso o persino un acquisto di accesso a pagamento. Purple gestisce tutto questo all'interno della sua piattaforma. La magia del flusso di autorizzazione avviene tramite la Mist REST API. Una volta che un ospite si autentica sul portale Purple, la piattaforma Purple effettua una chiamata API sicura al Mist Cloud. Questa chiamata, diretta all'endpoint di autorizzazione del portale Mist, comunica a Mist: "Questo dispositivo è autorizzato. Concedigli l'accesso a internet." Mist apre quindi la rete per quel dispositivo specifico. L'intero processo è protetto tramite un API Secret - una chiave crittografica unica da configurare sia nella dashboard Mist sia nelle impostazioni della location Purple. Ciò garantisce che solo la tua istanza Purple possa autorizzare i dispositivi sulla tua rete Mist. Ora parliamo dei visitatori ricorrenti, perché è qui che l'integrazione diventa davvero sofisticata. Costringere gli ospiti a effettuare il login a ogni singola visita offre un'esperienza scadente e, francamente, è un attrito non necessario che può danneggiare la percezione del tuo brand. È qui che entra in gioco PurpleConnex - la nostra soluzione Passpoint. Passpoint, noto anche come Hotspot 2.0, è uno standard IEEE 802.11u che consente ai dispositivi mobili di rilevare e connettersi automaticamente alle reti WiFi. Dopo la prima visita di un ospite e l'autenticazione tramite il Captive Portal, possiamo fornire un profilo Passpoint al suo dispositivo. A ogni visita successiva, il dispositivo si connette automaticamente e in modo sicuro all'SSID PurpleConnex senza alcuna interazione da parte dell'utente. Nessun portale, nessuna richiesta di login - solo una connettività istantanea e senza interruzioni. Questo si ottiene utilizzando RadSec, ovvero RADIUS su TLS. Invece del tradizionale protocollo RADIUS non crittografato, RadSec incanala tutto il traffico di autenticazione attraverso una connessione TLS, offrendo una sicurezza di livello enterprise. Il Mist Cloud comunica con i server RadSec di Purple - rad1-secure.purple.ai e rad2-secure.purple.ai sulla porta 2083 - per autenticare gli ospiti che ritornano. Sarà inoltre necessario caricare il certificato RadSec di Purple nelle impostazioni della tua organizzazione Mist, un processo estremamente semplice. La WLAN PurpleConnex è configurata come una rete WPA2 Enterprise con autenticazione 802.1X, che rappresenta il gold standard per la sicurezza wireless. Per le location che hanno abilitato le bande radio a 6 GHz sui loro access point Mist, è richiesto WPA3-Enterprise, che offre una crittografia ancora più forte grazie alla modalità di sicurezza a 192 bit. È opportuno notare un'importante considerazione sull'architettura: Juniper Mist non supporta l'autenticazione e l'accounting RADIUS per il flusso del Captive Portal stesso. Ciò significa che i report in tempo reale sul conteggio degli utenti e alcune metriche delle sessioni di rete all'interno della dashboard di Mist non rifletteranno le sessioni del Captive Portal. Tuttavia, la piattaforma di analytics di Purple fornisce report completi sulle sessioni degli ospiti, quindi, all'atto pratico, questa limitazione ha un impatto minimo sulle informazioni complessive che si possono ricavare dall'implementazione. Raccomandazioni di implementazione e potenziali errori. Ora passiamo all'implementazione. La configurazione di base è semplice, ma ci sono diversi dettagli di configurazione che possono mettere in difficoltà anche i tecnici di rete più esperti. Vediamo i passaggi chiave e gli errori più comuni. Il primo passo consiste nel creare la WLAN ospiti nella dashboard di Mist. Passare a Network, poi a WLANs e aggiungere una nuova WLAN. Impostare il tipo di sicurezza su Open Access - questo è corretto e intenzionale, poiché la sicurezza per la rete ospiti viene gestita a livello applicativo dal Captive Portal e dall'acquisizione dei dati conforme al GDPR. Impostare l'opzione Guest Portal su "Forward to an external portal" e inserire l'URL del portale fornito da Purple. L'errore più comune che si riscontra in questa fase è una configurazione incompleta del walled garden. Il walled garden è l'elenco dei nomi host a cui gli utenti non autenticati sono autorizzati ad accedere prima di completare il processo di accesso. È necessario aggiungere a questo elenco tutti i domini richiesti da Purple, nonché gli eventuali provider di login social che si intende supportare. Se il walled garden è incompleto, il caricamento del Captive Portal per gli ospiti fallirà e questi rimarranno bloccati su una pagina di errore del browser. Purple fornisce un elenco completo dei domini richiesti nella sua documentazione di supporto e consiglio vivamente di esaminarlo attentamente prima di andare online. Dopo aver salvato la WLAN, tornare alla configurazione e individuare l'API Secret. Si tratta di una chiave crittografica univoca che Mist genera automaticamente. Copiarla e incollarla nelle impostazioni della location di Purple nel campo "Mist API secret". Questo è il collegamento che consente a Purple di autorizzare i dispositivi sulla rete Mist. Per la configurazione di PurpleConnex Passpoint, creare una seconda WLAN con sicurezza WPA2 Enterprise e Passpoint abilitato. Configurare il campo Operators con "OpenRoaming-Settlement-Free" e impostare il NAI Realm su securewifi.purple.ai con EAP-TTLS come metodo di autenticazione. Aggiungere i due indirizzi server RadSec forniti da Purple e impostare il NAS Identifier su MIST seguito dalla variabile dell'indirizzo MAC del dispositivo. Infine, caricare il certificato RadSec nelle impostazioni dell'organizzazione Mist.Per le distribuzioni multi-sito - e questo è un consiglio fondamentale per qualsiasi organizzazione che gestisca più di una manciata di sedi - utilizza gli Organisation Templates di Mist. Configura le tue WLAN guest e protette una sola volta in un template e applicalo a tutti i tuoi siti. Ciò garantisce un'assoluta coerenza in tutta la tua infrastruttura e riduce drasticamente i costi amministrativi. Una catena di vendita al dettaglio con cinquanta negozi, ad esempio, può inviare una modifica di configurazione a tutti i siti contemporaneamente, anziché apportare modifiche manuali sito per sito. Un ultimo consiglio per l'implementazione: testa sempre l'integrazione in un ambiente di staging prima di distribuirla in produzione. Utilizza l'endpoint di autorizzazione di test di Mist - /authorize-test - per verificare che il flusso del Captive Portal funzioni correttamente senza influire sugli utenti live. E testa sempre su più tipi di dispositivi - iOS, Android, Windows e macOS - poiché il comportamento del Captive Portal può variare in modo significativo tra i sistemi operativi e le versioni dei browser. Domande e risposte rapide. Affrontiamo alcune domande rapide che sentiamo spesso dai network architect durante la pianificazione della distribuzione. Prima domanda: questa integrazione influisce sulle prestazioni della rete? No. L'handshake di autenticazione è leggero e avviene una sola volta per sessione. Una volta che un ospite è autorizzato, il suo traffico fluisce direttamente dall'access point Mist a Internet. Purple non si trova affatto nel percorso dei dati, quindi non vi è alcun sovraccarico di prestazioni per il normale traffico di navigazione. Seconda domanda: quanto sono sicuri i dati degli ospiti raccolti da Purple? Molto sicuri. Purple è certificato ISO 27001 e la piattaforma è progettata per la conformità a GDPR, CCPA e ad altre importanti normative sulla privacy dei dati. Tutti i dati sono crittografati in transito tramite TLS e crittografati a riposo. Gli strumenti di gestione del consenso di Purple garantiscono che gli ospiti forniscano un consenso informato ed esplicito prima che venga raccolto qualsiasi dato personale, il che è un requisito fondamentale ai sensi dell'Articolo 7 del GDPR. Terza domanda: posso offrire una larghezza di banda a più livelli per monetizzare il WiFi? Assolutamente sì. La piattaforma di Purple supporta le configurazioni della larghezza di banda a più livelli. Puoi offrire un livello base gratuito con un limite di velocità inferiore e un livello premium a pagamento con velocità più elevate. Questo è particolarmente rilevante per aeroporti, centri congressi e stadi, dove la connettività premium rappresenta un reale valore aggiunto per cui gli ospiti sono disposti a pagare. Un cliente Purple - un operatore aeroportuale - ha ottenuto un ritorno sull'investimento dell'ottocentoquarantadue percento implementando la larghezza di banda a più livelli tramite la piattaforma di Purple. Quarta domanda: cosa succede se la piattaforma Purple è temporaneamente non disponibile? Questa è un'importante considerazione sulla resilienza. Per impostazione predefinita, Mist non concederà l'accesso a Internet agli ospiti non autenticati se il portale esterno non è raggiungibile. È possibile abilitare opzionalmente l'impostazione "bypass guest portal in case of exception" in Mist, che concederà l'accesso aperto se il portale non è disponibile. Tuttavia, questa opzione deve essere attentamente valutata, poiché rimuove il livello di acquisizione dei dati e di conformità. Per la maggior parte delle implementazioni aziendali, consigliamo di lasciare questa opzione disattivata e di assicurarsi che la piattaforma di Purple - che opera su un'infrastruttura cloud ad alta disponibilità - sia monitorata come parte del processo di gestione del servizio. Riepilogo e prossimi passi. Per riassumere questo briefing: l'integrazione di Juniper Mist con Purple trasforma il tuo guest WiFi da una semplice utilità a un potente strumento per la business intelligence e il coinvolgimento dei clienti. Ottieni l'affidabilità di rete basata sull'intelligenza artificiale di Mist, con la sua gestione delle risorse radio guidata dal machine learning e il rilevamento proattivo dei guasti, combinata con l'analisi approfondita dei visitatori di Purple, l'automazione del marketing e l'acquisizione dei dati conforme al GDPR. L'integrazione è basata su API e flessibile, supportando sia semplici implementazioni di Captive Portal sia implementazioni Passpoint sofisticate e sicure per un'esperienza dei visitatori di ritorno davvero fluida. I punti chiave sono questi. Primo: configura sempre un walled garden completo - è la causa più comune di fallimento dell'integrazione. Secondo: pianifica due SSID fin dal primo giorno - una rete guest aperta per i visitatori al primo accesso e una rete Passpoint sicura per gli ospiti abituali. Terzo: utilizza gli Organisation Templates di Mist per qualsiasi implementazione multi-sito per garantire coerenza ed efficienza operativa. E quarto: sfrutta la piattaforma di analisi di Purple per trarre business intelligence fruibile dai dati del tuo guest WiFi - è qui che si realizza il vero ritorno sull'investimento. Il tuo prossimo passo? Se sei già un cliente Purple, consulta la guida all'integrazione di Juniper Mist nel nostro portale di supporto all'indirizzo support.purple.ai. Se non conosci ancora Purple, vai su purple.ai e prenota una demo con uno dei nostri solutions architect. Possiamo guidarti attraverso un ambiente live, discutere i requisiti specifici della tua sede e modellare il ritorno sull'investimento previsto per la tua implementazione. Grazie per aver partecipato a questo Technical Briefing di Purple. Arrivederci alla prossima volta.