Ubiquiti UniFi and Purple WiFi: Integration Guide

Questa guida fornisce un riferimento tecnico definitivo per l'integrazione della piattaforma di intelligence Purple WiFi con le distribuzioni di rete Ubiquiti UniFi, coprendo l'architettura, la configurazione passo-passo del controller e l'acquisizione dei dati conforme al GDPR. È progettata per IT manager, architetti di rete e direttori operativi che hanno l'esigenza di distribuire un'esperienza WiFi per gli ospiti sicura e ricca di funzionalità nei settori dell'ospitalità, del retail, degli eventi e del settore pubblico. Configurando correttamente il controller di rete UniFi per sfruttare il Captive Portal esterno di Purple, le organizzazioni possono trasformare un normale centro di costo in una preziosa fonte di analisi dei visitatori e marketing intelligence.

📖 8 minuti di lettura📝 1,793 parole🔧 2 esempi pratici❓ 4 domande di esercitazione📚 10 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuti al Technical Briefing di Purple. Sono il vostro ospite e, nei prossimi dieci minuti, vi forniremo una guida di livello senior per integrare la piattaforma di WiFi intelligence di Purple con le reti Ubiquiti UniFi. Questo contenuto è rivolto a IT manager, network architect e direttori operativi che necessitano di indicazioni pratiche per implementare una soluzione di guest WiFi di altissimo livello. Esamineremo l'architettura principale, un piano di implementazione passo dopo passo e gli errori comuni da evitare.

Inquadriamo il contesto. Avete una rete UniFi: è potente, è scalabile, ma le sue funzionalità native di portale ospiti sono limitate. La vostra organizzazione ha bisogno di qualcosa di più di una semplice password; ha bisogno di intelligenza. Desiderate comprendere il comportamento dei visitatori, acquisire dati per il marketing in modo conforme al GDPR e offrire un'esperienza utente fluida e personalizzata con il vostro brand. Questo è il problema che l'integrazione con Purple risolve. Trasforma la vostra infrastruttura UniFi da un semplice fornitore di connettività internet a una ricca fonte di business intelligence.

Il cuore di questa integrazione risiede nella funzionalità External Portal Server di UniFi. Quando un ospite si connette, il controller UniFi non gestisce direttamente il login. Al contrario, reindirizza l'utente alla piattaforma cloud di Purple, che si fa carico dell'intero percorso di autenticazione. Dopo che l'utente ha effettuato l'accesso tramite un account social, un modulo o un voucher, Purple effettua una chiamata API sicura al vostro controller UniFi per comunicare: 'Questo utente è autenticato, concedigli l'accesso'. Si tratta di un'architettura semplice, robusta ed estremamente efficace.

Passiamo ora all'approfondimento tecnico. Esaminiamo i cinque passaggi chiave per un'implementazione di successo. Sarò sintetico.

Fase uno: Accessibilità del Controller. Il vostro controller UniFi deve essere raggiungibile dalla piattaforma cloud di Purple. Ciò significa che avrete bisogno di un IP pubblico statico o di un hostname, e dovrete configurare una regola di port forwarding sul vostro firewall. Si tratta della porta TCP 8443 per i controller software e della porta 443 per i dispositivi hardware come UDM Pro o Cloud Key Gen2.

Fase due: Il Guest SSID. All'interno della vostra UniFi Network Application, creerete una nuova rete wireless. L'impostazione fondamentale in questo caso è che il protocollo di sicurezza deve essere Open. Questo punto non è negoziabile. È proprio questo stato aperto che consente il reindirizzamento al Captive Portal. Non preoccupatevi: la sicurezza è gestita dal portale e dalla segmentazione della rete, non da una chiave precondivisa.

Fase tre: Il Hotspot Portal. Qui è dove indicate a UniFi di utilizzare Purple. Abiliterete il Hotspot Portal e imposterete il tipo di autenticazione su External Portal Server. Successivamente, inserirete l'indirizzo IP specifico e il dominio di accesso forniti da Purple. Un errore cruciale da evitare in questa fase è l'abilitazione del reindirizzamento HTTPS. Purple gestisce la sicurezza, pertanto questa opzione deve essere disabilitata.

Fase quattro: il Walled Garden. Questa è la parte più critica e spesso fraintesa della configurazione. Il Walled Garden è la tua whitelist di pre-autenticazione. Devi aggiungere tutti i domini di Purple, oltre ai domini di tutti i provider di social login che desideri offrire, come facebook.com. Se questo elenco è incompleto, il portale semplicemente non si caricherà per i tuoi ospiti. È il primo punto da controllare in caso di risoluzione dei problemi.

Fase cinque: il Captive Portal di Purple. Infine, accedi al tuo account Purple. Nelle impostazioni della tua sede, inserirai l'indirizzo pubblico del tuo controller UniFi e, cosa molto importante, le credenziali per un account amministratore locale dedicato, non il tuo account cloud Ubiquiti. Questo è ciò che consente a Purple di effettuare quella chiamata API vitale per autorizzare l'ospite.

Segui questi cinque passaggi e avrai una soluzione WiFi per ospiti robusta e di livello enterprise.

Parliamo di raccomandazioni per l'implementazione e di errori comuni. Best practice numero uno: la segmentazione della rete. Il tuo SSID ospite deve trovarsi sulla propria VLAN, completamente isolato dalla rete aziendale. Questo è non negoziabile per la sicurezza e la conformità PCI DSS. Secondo, utilizza la limitazione della larghezza di banda. UniFi ti consente di impostare limiti di velocità per utente. Usali per garantire un'esperienza equa per tutti. Terzo, come ho già detto, utilizza un account amministratore locale dedicato per l'API. Riduce l'esposizione della tua sicurezza.

L'errore più comune che riscontriamo è un reindirizzamento non riuscito: il portale non si carica. Nove volte su dieci, la causa è un Walled Garden incompleto. Il secondo problema più comune è un login riuscito, ma senza accesso a Internet. Questo indica direttamente un errore di comunicazione tra Purple e il tuo controller. Controlla le regole di port forwarding e le credenziali di amministratore nel portale Purple.

È il momento di una sessione di domande e risposte rapide. Spesso mi viene chiesto: posso farlo con un UDM Pro? Sì, assolutamente. Il processo è identico, ricorda solo di usare la porta 443. Cosa succede se l'IP del mio controller cambia? Hai bisogno di un IP statico o di un hostname DNS dinamico. Se l'indirizzo cambia, l'integrazione si interromperà. Quanto è sicuro un SSID aperto? La sicurezza è garantita dall'isolamento dei client sull'access point e dalle regole del firewall della VLAN. La rete ospiti è isolata. Per una sicurezza ancora maggiore, possiamo implementare WPA3-Enterprise con RADIUS, che è ciò che fa la nostra soluzione PurpleConnex.In sintesi, l'integrazione di Purple con UniFi trasforma il tuo guest WiFi da semplice servizio a risorsa strategica. Offre una profonda business intelligence, potenti funzionalità di marketing e un'esperienza utente professionale. La chiave del successo risiede in un approccio metodico alla configurazione: assicurati l'accesso pubblico al controller, utilizza un SSID aperto, configura correttamente il portale esterno e il Walled Garden e utilizza un amministratore locale dedicato per l'API. Seguendo questa guida, potrai garantire un'implementazione fluida, di successo e di grande valore. Per istruzioni scritte dettagliate, passaggi dettagliati e diagrammi, consulta la guida di riferimento tecnico completa sul nostro sito web. Grazie per aver seguito il Technical Briefing di Purple.

Punti chiave

✓L'integrazione UniFi/Purple utilizza la funzionalità External Portal Server di UniFi per reindirizzare gli ospiti al Captive Portal di Purple, che gestisce l'autenticazione e richiama l'API UniFi per autorizzare l'accesso degli ospiti — non è richiesto alcun hardware aggiuntivo.
✓Il Walled Garden (elenco di accesso pre-autorizzazione) è l'elemento più critico e più frequentemente configurato in modo errato della distribuzione. Deve includere tutti i domini Purple, i domini dei provider di social login e gli endpoint Apple CNA affinché il portale funzioni correttamente.
✓Utilizza sempre un account amministratore locale dedicato sul controller UniFi per l'integrazione dell'API Purple — non utilizzare mai le credenziali del tuo account cloud Ubiquiti principale. Questa è sia una best practice di sicurezza che un requisito di affidabilità.
✓La porta API corretta dipende dal tipo di controller: TCP 8443 per i controller basati su software, TCP 443 per i controller basati su hardware (UDM Pro, UDM SE, UDR, CloudKey Gen2+). La configurazione della porta errata è una causa comune di errori di comunicazione API.
✓La segmentazione della rete non è negoziabile: l'SSID ospiti deve trovarsi su una VLAN dedicata, protetta da firewall da tutte le reti aziendali e di gestione. Questo è richiesto sia per la sicurezza che per la conformità PCI DSS.
✓Il ROI dell'integrazione Purple va ben oltre la connettività: l'analisi dei visitatori, l'acquisizione dei dati conforme al GDPR, l'integrazione CRM e le comunicazioni di marketing mirate trasformano il WiFi ospiti in una risorsa aziendale misurabile.
✓Per gli utenti che ritornano, la funzionalità PurpleConnex (Passpoint/IEEE 802.11u) di Purple offre un'esperienza di riconnessione fluida e senza credenziali utilizzando l'autenticazione EAP-TTLS basata su RADIUS, eliminando la necessità di autenticarsi nuovamente tramite il Captive Portal nelle visite successive.

Executive Summary

Ubiquiti UniFi è una delle piattaforme WiFi aziendali più diffuse al mondo, scelta da hotel, catene retail, stadi e organizzazioni del settore pubblico per le sue prestazioni, scalabilità e convenienza. Tuttavia, le sue funzionalità native di portale ospiti sono limitate. La piattaforma di WiFi intelligence di Purple colma questa lacuna integrandoci direttamente con l'UniFi Network Controller tramite la funzione External Portal Server, offrendo un'esperienza di Captive Portal completamente personalizzata con il proprio brand e ricca di dati analitici, senza richiedere hardware aggiuntivo.

Questa guida fornisce un riferimento tecnico completo per tale integrazione. Copre l'architettura sottostante, un processo di configurazione passo-passo sia per le versioni UniFi attuali (v7.4+) che per quelle legacy (v7.3 e precedenti), le best practice per la sicurezza e la conformità, e un framework strutturato per la risoluzione dei problemi. Le organizzazioni che completano questa integrazione ottengono l'accesso ad analisi dei visitatori in tempo reale, acquisizione dati conforme al GDPR, integrazione CRM e capacità di inviare comunicazioni di marketing mirate, trasformando il WiFi ospiti da un centro di costo a una risorsa aziendale misurabile.

Approfondimento Tecnico

L'integrazione tra Ubiquiti UniFi e Purple si basa sulla funzionalità External Portal Server di UniFi. Questa funzione reindirizza gli utenti ospiti dal controller UniFi locale a un Captive Portal di terze parti designato, in questo caso la piattaforma Purple. Il meccanismo sottostante si affida a una serie di reindirizzamenti HTTP e chiamate API che gestiscono il ciclo di vita dell'autorizzazione degli ospiti.

Quando un ospite si connette all'SSID ad autenticazione aperta designato, il controller UniFi imposta il suo dispositivo in uno stato "in attesa". In questo stato, tutto il traffico HTTP viene intercettato e reindirizzato all'URL della splash page di Purple, con parametri chiave aggiunti alla query string dell'URL: l'indirizzo MAC dell'ospite, l'indirizzo MAC dell'AP e l'identificatore del sito. La piattaforma Purple acquisisce questi parametri, presenta l'esperienza di accesso appropriata e, a seguito dell'avvenuta autenticazione dell'utente (tramite social login, modulo e-mail o voucher), effettua una chiamata API HTTPS sicura al controller di rete UniFi per autorizzare l'indirizzo MAC dell'ospite per una durata di sessione specificata. Questa autorizzazione sposta il dispositivo dallo stato "in attesa" allo stato "autorizzato", garantendogli l'accesso a Internet.

Un componente critico di questa architettura è il Walled Garden — una whitelist di indirizzi IP e domini a cui i dispositivi degli ospiti possono accedere prima dell'autenticazione. Questo è essenziale per consentire l'accesso ai domini di Purple, ai provider di social login (Facebook, Google), agli endpoint di rilevamento CNA di Apple e a qualsiasi altro servizio esterno richiesto. Senza un Walled Garden configurato correttamente, il Captive Portal non si caricherà affatto.

Per implementazioni più avanzate, la funzionalità PurpleConnex di Purple introduce il supporto Passpoint (IEEE 802.11u), utilizzando un server RADIUS per una riconnessione fluida e senza credenziali per gli utenti che ritornano. Ciò richiede la configurazione di un profilo RADIUS all'interno di UniFi che punti al server di autenticazione di Purple all'IP 34.150.158.147, sulle porte 1812 (autenticazione) e 1813 (accounting).

Guida all'implementazione

Questa sezione fornisce una guida passo-passo per configurare il tuo UniFi Network Controller per l'integrazione con Purple. Le seguenti istruzioni si applicano a UniFi Network Application versione 7.4 o successive. Per le versioni legacy (v7.3 e precedenti), i principi di configurazione sono identici ma il percorso di navigazione differisce leggermente, utilizzando Profili > Guest Hotspot anziché Hotspot Manager.

Passo 1: Verificare e stabilire l'accessibilità del controller. Prima di iniziare qualsiasi configurazione, conferma che il tuo UniFi Network Controller sia accessibile da internet pubblico. La piattaforma cloud di Purple deve essere in grado di comunicare con l'API del tuo controller per autorizzare le sessioni degli ospiti. Per i controller UniFi basati su software, ciò richiede una regola di port forwarding sul firewall che mappi la porta TCP 8443 sull'indirizzo IP LAN interno del controller. Per le implementazioni basate su hardware — inclusi UniFi Dream Machine Pro (UDM Pro), UDM Special Edition, UDR e CloudKey Gen2+ — la porta pertinente è la TCP 443.

Passo 2: Creare un account amministratore locale dedicato. Per motivi di sicurezza, non utilizzare mai le credenziali del tuo account super-admin Ubiquiti o cloud principale per l'integrazione con l'API di Purple. Crea un nuovo account amministratore locale dedicato sul tuo controller UniFi specificamente per questo scopo. Questo account deve disporre di privilegi amministrativi completi per il sito pertinente. L'utilizzo di un account dedicato limita il raggio d'azione di un'eventuale compromissione delle credenziali e garantisce che l'integrazione non venga interrotta da modifiche al tuo account principale. Step 3: Create the Guest WiFi SSID. In the UniFi Network Application, navigate to Settings > WiFi and click Create New. Assign a public-facing name (e.g., 'Hotel Guest WiFi'). Set the Security Protocol to Open — this is mandatory for the captive portal redirect mechanism to function. Assign the SSID to your designated Guest VLAN. Enable the Hotspot Portal toggle.

Step 4: Configure the Hotspot Portal and External Server. Navigate to Hotspot Manager > Landing Page. Under Authentication, select External Portal Server and enter the External Portal IP address provided by Purple. Under Settings, configure as follows: enable Secure Portal, enable Redirect using Hostname and enter the Access Domain provided by Purple, and ensure HTTPS Redirection is set to Disabled. The session Default Expiration should be set to 8 hours.

Step 5: Configure the Walled Garden. In the Hotspot Manager settings, locate the Pre-Authorization Access section. Add all domains from the list provided by Purple. This list typically includes Purple's own platform domains, social login provider domains (facebook.com, google.com, accounts.google.com), Apple's Captive Network Assistant (CNA) detection endpoints, and any other third-party services used on your splash page. This step is the most common source of deployment failures and must be completed with precision.

Step 6: Enter Controller Details in the Purple Portal. Log in to your Purple account and navigate to the relevant Venue's settings. Enter the public IP address or hostname of your UniFi Controller and the credentials for the dedicated local administrator account created in Step 2. Save the configuration. Purple will attempt to validate the connection.

Step 7: Test and Validate. Using a mobile device not previously connected to the network, connect to the new guest SSID. You should be automatically redirected to the Purple captive portal. Authenticate using one of the configured methods. Upon success, you should be granted internet access. If the redirect fails or internet access is not granted after authentication, refer to the Troubleshooting section below.

Best Practices

Network segmentation is the foundational security requirement for any guest WiFi deployment. The guest SSID must be assigned to a dedicated VLAN that is firewalled from all corporate and administrative networks. This prevents guest devices from accessing internal resources, satisfies PCI DSS network isolation requirements, and limits the impact of any security incident on the guest network.

Bandwidth management is equally important in high-density environments. UniFi's per-user rate limiting feature should be configured to set reasonable upload and download caps for guest users. This prevents a small number of high-bandwidth users from degrading the experience for all guests, which is particularly relevant in hotel and conference centre deployments.

Il Walled Garden richiede una manutenzione continua. I provider di social login e altri servizi di terze parti aggiornano periodicamente le loro strutture di dominio. Una revisione trimestrale della configurazione del Walled Garden, confrontata con l'elenco dei domini consigliati più recente di Purple, è una solida pratica operativa. La mancata manutenzione di questo elenco è la causa principale dei malfunzionamenti del portale post-implementazione.

Per l'integrazione API, utilizza sempre un account amministratore locale dedicato anziché un account collegato al cloud. Si tratta sia di una best practice di sicurezza sia di una misura di affidabilità: le credenziali dell'account cloud sono soggette a flussi di autenticazione a più fattori che possono interrompere le chiamate API automatizzate che Purple effettua per autorizzare gli ospiti.

Risoluzione dei problemi e mitigazione dei rischi

La modalità di errore più comune è un Captive Portal che non si carica. Quando un ospite si connette all'SSID ma non vede alcun reindirizzamento, o la pagina del portale non viene visualizzata, la causa principale è quasi invariabilmente un Walled Garden incompleto. Inizia la risoluzione dei problemi connettendo un dispositivo di test e provando a navigare su un URL HTTP noto. Se il reindirizzamento avviene ma la pagina non si carica, aggiungi i domini mancanti al Walled Garden. Verifica inoltre che il DNS della rete ospiti sia configurato correttamente per risolvere gli hostname esterni.

Il secondo errore più comune è uno scenario in cui l'ospite si autentica con successo sul portale Purple ma non riceve l'accesso a Internet. Ciò indica un errore nella comunicazione API tra Purple e il controller UniFi. I passaggi diagnostici sono: in primo luogo, confermare che il controller sia accessibile pubblicamente sulla porta corretta provando a raggiungerlo da una rete esterna; in secondo luogo, verificare che le credenziali dell'amministratore locale inserite nel portale Purple siano corrette e che l'account non sia stato bloccato; in terzo luogo, esaminare i log degli eventi del controller UniFi per verificare la presenza di eventuali errori di autenticazione API.

Per le implementazioni in produzione, la disponibilità del controller è un fattore di rischio critico. Se il controller UniFi va offline, le nuove autorizzazioni degli ospiti falliranno. Le strategie di mitigazione includono l'implementazione di un controller UniFi ospitato in cloud (che fornisce una ridondanza intrinseca), l'implementazione di una coppia di controller ad alta disponibilità o la configurazione di monitoraggio e avvisi sulla disponibilità del controller. La piattaforma di Purple metterà in coda i tentativi di autorizzazione e riproverà, ma un downtime prolungato del controller comporterà un'esperienza ospite degradata.

Dal punto di vista della conformità, i dati raccolti tramite il Captive Portal sono soggetti al GDPR e a normative equivalenti sulla protezione dei dati. La piattaforma di Purple è progettata per la conformità, fornendo gestione del consenso, strumenti per le richieste di accesso ai dati da parte degli interessati (DSAR) e policy di conservazione dei dati configurabili. Tuttavia, la responsabilità legale per il trattamento lecito dei dati rimane in capo al gestore della struttura. Assicurati che la tua informativa sulla privacy sia chiaramente collegata nella splash page, di disporre di una base giuridica documentata per la raccolta dei dati e che le impostazioni di conservazione dei dati siano in linea con la policy aziendale.

ROI e impatto aziendale

L'integrazione di Purple con UniFi non è un semplice aggiornamento tecnico; si tratta di una decisione aziendale strategica che trasforma il WiFi per gli ospiti da un centro di costo a una risorsa potente. Il ritorno sull'investimento è misurabile attraverso diverse dimensioni chiave.

La business intelligence è il principale motore di valore. Purple acquisisce dati ricchi e anonimizzati sul comportamento dei visitatori, inclusi affluenza, tempi di permanenza, frequenza delle visite e modelli di movimento. Per una catena di vendita al dettaglio, questi dati possono influenzare direttamente le decisioni sul layout del punto vendita, i livelli di personale e la tempistica delle promozioni. Per un hotel, possono rivelare quali servizi sono più utilizzati e in quali orari, consentendo un upselling più mirato e una maggiore efficienza operativa.

Le funzionalità di marketing e coinvolgimento rappresentano un significativo vantaggio secondario. Acquisendo i dettagli di contatto degli ospiti previo consenso, le organizzazioni possono creare un database di marketing di prima parte che non è soggetto alle limitazioni della deprecazione dei cookie di terze parti. Le campagne e-mail post-visita, i sondaggi sulla soddisfazione e gli inviti ai programmi di fidelizzazione possono essere automatizzati direttamente dalla piattaforma Purple, generando miglioramenti misurabili nei tassi di visite ripetute e nel valore del ciclo di vita del cliente.

Per le grandi strutture come stadi, centri congressi e centri commerciali, l'intelligence operativa derivata dall'analisi dell'affluenza in tempo reale e dalle mappe di calore può generare significativi guadagni di efficienza, ottimizzando i programmi di pulizia, il dispiegamento della sicurezza e il posizionamento delle concessioni commerciali sulla base di dati reali sui movimenti dei visitatori anziché su ipotesi.

In determinati contesti, l'infrastruttura WiFi per gli ospiti stessa può essere monetizzata attraverso modelli di accesso a livelli, splash page sponsorizzate o pubblicità mirata, creando un flusso di entrate diretto che compensa il costo dell'investimento infrastrutturale.

Definizioni chiave

Captive Portal

Una pagina web mostrata ai nuovi utenti connessi a una rete WiFi prima che venga concesso loro un accesso a Internet più ampio. Controlla l'accesso, autentica gli utenti e/o presenta i termini di servizio e i contenuti di marketing.

In un'integrazione UniFi/Purple, il controller UniFi reindirizza l'ospite al Captive Portal ospitato da Purple, che gestisce l'intera esperienza dell'ospite, inclusi l'autenticazione, l'acquisizione del consenso e il branding.

External Portal Server

Un'opzione di configurazione di UniFi che delega l'esperienza del Captive Portal a un'applicazione web di terze parti, anziché utilizzare il portale integrato di UniFi. Il controller UniFi reindirizza gli ospiti all'URL esterno specificato e si affida a tale sistema per gestire l'autenticazione e richiamare l'API del controller per autorizzare l'ospite.

Questa è l'impostazione principale di UniFi che abilita l'integrazione con Purple. Si trova in Hotspot Manager > Landing Page > Authentication in UniFi Network v7.4+.

Walled Garden

Una whitelist di indirizzi IP, hostname e domini a cui un dispositivo ospite è autorizzato ad accedere prima di essere stato autenticato dal Captive Portal. Il traffico verso destinazioni non incluse nella whitelist viene bloccato finché l'ospite non completa il flusso di autenticazione.

Questo è fondamentale per consentire al dispositivo di caricare la splash page di Purple stessa, nonché tutte le risorse di terze parti su cui si basa, come i provider di login social o i gateway di pagamento. Un Walled Garden incompleto è la causa principale dei malfunzionamenti del Captive Portal.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete (RFC 2865) che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità (AAA) per gli utenti che si connettono a un servizio di rete.

Mentre l'integrazione standard di Purple utilizza l'API di UniFi per l'autorizzazione degli ospiti, la funzionalità PurpleConnex (Passpoint) utilizza RADIUS per fornire un'esperienza di connessione più sicura e fluida per gli utenti che ritornano, eliminando la necessità di autenticarsi nuovamente tramite il Captive Portal.

Passpoint (IEEE 802.11u / Hotspot 2.0)

Un programma di certificazione della WiFi Alliance che consente l'autenticazione automatica e sicura alle reti WiFi senza richiedere all'utente di selezionare manualmente una rete o inserire le credenziali. I dispositivi con un profilo Passpoint si connettono automaticamente e in modo sicuro utilizzando l'autenticazione basata su EAP.

La funzionalità PurpleConnex di Purple sfrutta Passpoint per offrire un'esperienza di riconnessione fluida agli ospiti che ritornano. Una volta che un utente si è autenticato una volta tramite il Captive Portal, le visite successive possono connettersi automaticamente senza visualizzare nuovamente la splash page.

SSID (Service Set Identifier)

Il nome pubblico di una rete locale wireless (WLAN) — il nome della rete che appare quando un utente cerca le connessioni WiFi disponibili sul proprio dispositivo.

Per l'integrazione di una rete ospiti, viene creato un SSID dedicato con sicurezza aperta e collegato al Captive Portal. Questo viene tenuto separato dall'SSID aziendale, che utilizza l'autenticazione WPA2/WPA3-Enterprise.

VLAN (Virtual Local Area Network)

Un metodo per creare reti logicamente separate sulla stessa infrastruttura di rete fisica. I dispositivi su VLAN diverse non possono comunicare tra loro senza un router, fornendo segmentazione della rete e isolamento di sicurezza.

Le migliori pratiche di sicurezza e la conformità PCI DSS richiedono che l'SSID degli ospiti sia posizionato sulla propria VLAN, completamente isolata dalle reti aziendali, di gestione e POS. Ciò impedisce ai dispositivi degli ospiti di accedere alle risorse interne.

WISPr (Wireless Internet Service Provider Roaming)

Un protocollo standard del settore che definisce il modo in cui un dispositivo client rileva e si autentica su un Captive Portal di un hotspot WiFi. Utilizza reindirizzamenti HTTP e messaggi di autenticazione basati su XML per gestire l'interazione con il portale.

La funzionalità del portale esterno di UniFi si basa sui principi WISPr. La comprensione di questo protocollo aiuta gli ingegneri di rete a risolvere i problemi di reindirizzamento e a capire perché determinati dispositivi client (in particolare iOS e Android) si comportano diversamente quando si connettono a reti con Captive Portal.

Port Forwarding

Una tecnica di traduzione degli indirizzi di rete (NAT) che mappa una porta esterna su un router o firewall a un indirizzo IP e una porta interni specifici, consentendo ai servizi esterni di avviare connessioni verso i dispositivi su una rete privata.

Se il controller UniFi è ospitato su una rete locale, è necessario configurare una regola di port forwarding per consentire alla piattaforma cloud di Purple di raggiungere l'API del controller. La porta richiesta è la 8443 per i controller software o la 443 per i controller basati su hardware.

PurpleConnex

L'implementazione di Purple dello standard Passpoint (IEEE 802.11u), che fornisce una connessione WiFi sicura e fluida per gli utenti che ritornano utilizzando l'autenticazione EAP-TTLS tramite un server RADIUS dedicato. Elimina la necessità per i visitatori abituali di autenticarsi nuovamente tramite il Captive Portal.

PurpleConnex richiede una configurazione aggiuntiva in UniFi: un profilo RADIUS che punta al server di autenticazione di Purple e un SSID separato abilitato per Passpoint. È particolarmente prezioso negli ambienti dell'ospitalità e del retail in cui i visitatori abituali sono frequenti.

Esempi pratici

Un boutique hotel di 250 camere desidera sostituire il suo Wi-Fi per gli ospiti, attualmente basilare e inaffidabile, con un'esperienza premium e personalizzata con il proprio brand. I loro obiettivi sono raccogliere gli indirizzi e-mail degli ospiti per il marketing post-soggiorno, promuovere la spa e il ristorante sulla pagina di accesso e garantire una connettività fluida per gli ospiti con più dispositivi. La loro infrastruttura è composta da un UniFi Dream Machine Pro e 40 access point UniFi U6 Pro.

La distribuzione consigliata integra l'UDM Pro con Purple tramite il metodo External Portal Server. Viene creato un nuovo SSID 'Hotel Guest WiFi' con sicurezza Open e assegnato a una VLAN Guest dedicata (es. VLAN 20), isolata tramite firewall dalle reti di gestione e POS dell'hotel. Il Captive Portal è abilitato e configurato per utilizzare Purple come server del portale esterno. Poiché l'UDM Pro utilizza la porta 443, viene creata una regola di port forwarding sull'interfaccia WAN dell'UDM Pro che mappa la porta TCP 443 sull'IP LAN dell'UDM Pro. Viene creato un account amministratore locale dedicato ('purple-api') sull'UDM Pro con privilegi completi sul sito. Nel portale Purple, viene progettata una splash page personalizzata con il logo dell'hotel, un semplice modulo di acquisizione e-mail con casella di controllo per il consenso GDPR e un banner in evidenza che pubblicizza la spa con un link di prenotazione diretta. Il Walled Garden è configurato per includere tutti i domini Purple, Facebook, Google e gli endpoint CNA Apple. Al team di marketing dell'hotel viene concesso l'accesso alla dashboard di analisi di Purple, consentendo loro di monitorare il numero di ospiti giornalieri, gli orari di picco delle connessioni e i tassi di acquisizione delle e-mail. Entro il primo trimestre, l'hotel acquisisce una media di 180 nuovi indirizzi e-mail a settimana, che vengono sincronizzati automaticamente con il loro CRM per l'automazione delle campagne post-soggiorno.

Commento dell'esaminatore: Questa soluzione risponde correttamente a tutti i requisiti. La scelta di un Captive Portal esterno rispetto al portale integrato di UniFi è l'unico approccio praticabile per raggiungere il livello richiesto di personalizzazione del brand, acquisizione dati e integrazione CRM. La decisione di utilizzare un account amministratore locale dedicato ('purple-api') anziché il super-admin principale è una best practice di sicurezza fondamentale: limita l'ambito dell'accesso API e garantisce che l'integrazione non venga interrotta da modifiche all'account principale. La segmentazione della VLAN protegge i sistemi POS e di gestione dell'hotel dal traffico di rete degli ospiti, il che è un requisito PCI DSS. La configurazione della porta 443 per l'UDM Pro è un comune punto di confusione per i tecnici abituati ai controller software; questa distinzione deve essere compresa chiaramente prima della distribuzione.

Una catena di negozi con 20 punti vendita nel Regno Unito, ciascuno dotato di AP UniFi gestiti da un unico controller UniFi ospitato in cloud, desidera utilizzare i dati del Wi-Fi ospiti per comprendere il comportamento dei clienti. Il direttore operativo ha bisogno di misurare l'affluenza, il tempo di permanenza e i tassi di visitatori ricorrenti in tutti i negozi per definire un programma di riprogettazione del layout dei punti vendita e valutare le prestazioni delle campagne promozionali in negozio.

Il controller UniFi ospitato in cloud dispone già di un hostname pubblico, pertanto non è richiesto alcun port forwarding: questo semplifica notevolmente la distribuzione. Un singolo SSID guest ('Brand WiFi') viene configurato e applicato a tutti i 20 siti tramite le funzionalità di gestione dei siti del controller UniFi. Il Captive Portal è configurato per utilizzare il server del portale esterno di Purple. Nel portale Purple, ciascuno dei 20 negozi è configurato come una sede separata, consentendo analisi granulari a livello di singolo punto vendita. La splash page è progettata per la massima adozione: un singolo pulsante 'Connetti' con una breve informativa sulla privacy, riducendo al minimo gli ostacoli. All'interno della piattaforma di analisi Purple, il direttore operativo può visualizzare una dashboard comparativa che mostra l'affluenza, il tempo di permanenza e i rapporti tra visitatori nuovi e di ritorno per ciascun negozio. Dopo 90 giorni di raccolta dati, le analisi rivelano che tre negozi presentano tempi di permanenza significativamente più elevati rispetto agli altri, in correlazione con uno specifico layout del negozio. Questa informazione guida direttamente il programma di riprogettazione del layout, con il layout ad alte prestazioni esteso a tutti i 20 negozi. Viene avviata una campagna promozionale in contemporanea in tutti i negozi e la dashboard di Purple fornisce un chiaro confronto prima e dopo dell'affluenza e del tempo di permanenza, dimostrando un incremento misurabile della campagna.

Commento dell'esaminatore: Questo scenario evidenzia la potenza di una distribuzione Purple centralizzata e multi-sede. La decisione architetturale chiave è l'uso di un singolo controller UniFi ospitato in cloud, che elimina la complessità del port forwarding presente nelle distribuzioni on-premise e fornisce un unico punto di gestione per tutti i 20 siti. Il design della splash page con connessione 'one-click' a basso attrito è la scelta corretta per un ambiente retail in cui l'obiettivo principale è massimizzare il volume di raccolta dati; un modulo di accesso complesso ridurrebbe significativamente i tassi di adozione. La separazione di ciascun negozio come sede distinta in Purple è essenziale per generare informazioni utili e specifiche per ogni punto vendita, anziché dati aggregati che nasconderebbero le differenze di prestazioni tra le varie sedi.

Domande di esercitazione

Q1. Un IT manager di un hotel ha completato la configurazione dell'integrazione UniFi/Purple e l'ha testata con successo in ufficio. Tuttavia, dopo la distribuzione nell'ambiente reale dell'hotel, gli ospiti segnalano che la pagina del Captive Portal si carica ma il pulsante "Accedi con Facebook" non funziona. Qual è la causa più probabile e come dovrebbe essere risolta?

Suggerimento: Considera quali risorse il pulsante di login di Facebook deve caricare e far funzionare, e se tali risorse sono accessibili a un dispositivo ospite prima dell'autenticazione.

Visualizza risposta modello

La causa più probabile è che i domini di login di Facebook non sono inclusi nel Walled Garden (lista di accesso pre-autorizzazione). Quando un dispositivo ospite si trova nello stato "in attesa", può accedere solo ai domini esplicitamente inseriti nella whitelist del Walled Garden. Il flusso di login di Facebook richiede l'accesso a facebook.com, fbcdn.net e ai domini correlati. La risoluzione consiste nell'aggiungere tutti i domini Facebook richiesti al Walled Garden nelle impostazioni dell'UniFi Hotspot Manager. Purple fornisce un elenco aggiornato dei domini richiesti per ciascun provider di social login. Dopo aver aggiornato il Walled Garden, testa nuovamente il flusso di login di Facebook con una nuova connessione del dispositivo.

Q2. Un progettista di rete sta pianificando l'implementazione del WiFi per gli ospiti di un centro congressi da 5.000 posti che ospiterà eventi con un massimo di 3.000 utenti WiFi simultanei. La struttura utilizza un controller UniFi basato su software ospitato su un server nella sala server locale. Quali sono le tre considerazioni infrastrutturali più critiche per garantire che l'integrazione con Purple rimanga affidabile durante i picchi di eventi?

Suggerimento: Pensa ai singoli punti di vulnerabilità nell'architettura di integrazione: cosa succede se il controller va offline, se la connessione internet è satura o se l'hardware del controller è sottodimensionato?

Visualizza risposta modello

Le tre considerazioni più critiche sono: Primo, la disponibilità e le prestazioni del controller — il controller UniFi è un componente critico in ogni autorizzazione degli ospiti. Con 3.000 utenti simultanei, il controller deve disporre di CPU e RAM sufficienti per gestire il carico. Prendi in considerazione l'aggiornamento a un server con specifiche elevate o la migrazione a un controller ospitato in cloud per una ridondanza intrinseca. Secondo, la connettività internet e l'affidabilità del port forwarding — le chiamate API di Purple al controller devono attraversare la connessione internet della struttura. Assicurati che la regola di port forward sia su un firewall resiliente e che la connessione internet abbia una capacità sufficiente. Una connessione internet secondaria con failover automatico è consigliabile per eventi mission-critical. Terzo, la gestione della larghezza di banda — con 3.000 utenti, implementa limiti di velocità rigidi per utente in UniFi per prevenire l'esaurimento della banda. Senza limitazione di banda, un piccolo numero di utenti ad alto consumo può compromettere l'esperienza di tutti gli ospiti.

Q3. Il team legale chiede a un IT manager di una catena di negozi di garantire che la raccolta dei dati del WiFi ospiti sia pienamente conforme al GDPR. L'attuale splash page ha un semplice pulsante "Connetti" senza alcun meccanismo di consenso esplicito. Quali modifiche devono essere apportate alla configurazione di Purple e quali processi operativi continui dovrebbero essere implementati?

Suggerimento: Il GDPR richiede una base giuridica per il trattamento dei dati personali, trasparenza su come verranno utilizzati i dati e meccanismi che consentano agli interessati di esercitare i propri diritti.

Visualizza risposta modello

Sono richiesti i seguenti cambiamenti e processi: Sulla splash page, il pulsante "Connetti" deve essere sostituito con un meccanismo di opt-in esplicito. Ciò significa aggiungere una casella di controllo del consenso chiaramente formulata (deselezionata di default) che indichi quali dati vengono raccolti, come verranno utilizzati e con chi verranno condivisi. Un link all'informativa sulla privacy completa deve essere visualizzato in modo visibile. La base giuridica del trattamento dovrebbe essere il consenso esplicito per le comunicazioni di marketing e il legittimo interesse per le analisi anonimizzate. All'interno del portale Purple, configura le impostazioni di conservazione dei dati in linea con la policy aziendale di conservazione dei dati, in genere non oltre i 24 mesi per i dati di marketing. Abilita gli strumenti GDPR di Purple per gestire le richieste di accesso ai dati da parte degli interessati (DSAR) e le richieste di cancellazione. A livello operativo, implementa un processo di revisione trimestrale per garantire che l'informativa sulla privacy rimanga accurata, che la formulazione del consenso sia aggiornata e che le impostazioni di conservazione dei dati siano applicate. Mantieni un registro delle attività di trattamento (ROPA) per la raccolta dei dati del WiFi ospiti.

Q4. Un ingegnere di rete ha configurato l'integrazione UniFi/Purple seguendo tutti i passaggi documentati. Durante il test, il dispositivo ospite si connette all'SSID e viene reindirizzato al portale Purple. L'ospite si autentica con successo, ma non gli viene concesso l'accesso a internet. Il portale Purple mostra l'autenticazione come riuscita. Qual è il processo di diagnostica?

Suggerimento: Se Purple mostra un'autenticazione riuscita ma l'ospite non ha accesso a internet, il problema risiede nel percorso di comunicazione tra Purple e il controller UniFi.

Visualizza risposta modello

Questo sintomo indica che la chiamata API di Purple al controller UniFi — la chiamata che sposta il dispositivo ospite da "in attesa" ad "autorizzato" — sta fallendo. Il processo di diagnostica è il seguente: Primo, verifica che il controller UniFi sia accessibile pubblicamente sulla porta corretta (8443 per il software, 443 per l'hardware) tentando di raggiungere l'interfaccia di gestione del controller da una rete esterna o utilizzando uno strumento di verifica delle porte online. Secondo, accedi al portale Purple e verifica che l'IP/hostname del controller e le credenziali di amministratore locale siano corretti. Un errore comune consiste nell'inserire l'IP LAN interno del controller anziché il suo IP pubblico, o nell'utilizzare le credenziali dell'account cloud anziché le credenziali dell'amministratore locale. Terzo, controlla il registro degli eventi del controller UniFi per verificare la presenza di eventuali errori di autenticazione API o tentativi di accesso non riusciti dagli indirizzi IP di Purple. Quarto, verifica che la regola del firewall o il port forward siano configurati correttamente e che gli indirizzi IP di origine di Purple non siano bloccati da alcun dispositivo di sicurezza a monte.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.