Pular para o conteúdo principal
Português (Brasil)

Aruba Central and Purple WiFi: Cloud-Managed Integration

Um guia de referência técnica abrangente para integrar o Aruba Central com a plataforma de inteligência de WiFi para convidados hospedada na nuvem da Purple. Este guia aborda a arquitetura, a configuração passo a passo de Captive Portals externos e RADIUS, e estratégias de implantação em múltiplos locais para equipes de TI corporativas.

📖 7 min de leitura📝 1,633 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Aruba Central e Purple WiFi: Integração Gerenciada em Nuvem. Um briefing para líderes de TI. Bem-vindo. Se você gerencia WiFi de visitantes em vários locais e utiliza o Aruba Central, este episódio é diretamente relevante para você. Vou orientá-lo exatamente sobre como o Purple se integra ao Aruba Central — a arquitetura, as etapas de configuração, os padrões de implantação em múltiplos locais e as armadilhas que costumam pegar as equipes de surpresa. Este é um briefing prático, não uma apresentação de vendas. Vamos começar. Seção um: Contexto e por que isso importa. O Aruba Central é a plataforma de rede gerenciada em nuvem da HPE. É o plano de controle para dezenas de milhares de Aruba Instant Access Points implantados em hotéis, redes de varejo, estádios, centros de convenções e edifícios do setor público. Se você migrou de controladores Aruba locais — os Mobility Controllers ou Mobility Conductors — para o Central, já experimentou a mudança da configuração baseada em CLI e específica por site para o gerenciamento de políticas baseado em grupos e enviado pela nuvem. Essa mudança altera fundamentalmente a forma como você integra uma plataforma de guest WiFi como o Purple. Em um controlador Aruba local tradicional, você configuraria o redirecionamento do Captive Portal e a autenticação RADIUS diretamente no próprio controlador. O controlador era o ponto de aplicação de políticas e ficava no seu data center ou sala de comunicações. Com o Aruba Central, a aplicação de políticas ainda ocorre no Access Point — mas a configuração é enviada a partir da nuvem. Isso significa que seus pontos de contato de integração são diferentes. Você trabalha com modelos de grupo, perfis de SSID e objetos de perfil de Captive Portal externo que residem na hierarquia de configuração do Central, não em um equipamento físico em um rack. O Purple posiciona-se acima de tudo isso como uma plataforma de inteligência de guest WiFi hospedada na nuvem. Ele fornece o Captive Portal — a página de login que os visitantes visualizam —, lida com a lógica de autenticação, captura dados primários com consentimento e envia análises de volta para suas equipes de marketing e operações. A questão é: como interligar essas duas plataformas de nuvem de forma limpa, em escala, em potencialmente centenas de locais? Seção dois: A arquitetura técnica. Deixe-me descrever o fluxo de dados quando um visitante se conecta. O dispositivo de um visitante se associa ao seu SSID de visitantes — vamos chamá-lo de Hotel-Guest — que é transmitido por um Aruba Instant AP. O AP foi configurado, via Aruba Central, com um perfil de Captive Portal Externo. Esse perfil contém duas informações críticas: a URL de redirecionamento, que aponta para o servidor de Captive Portal do Purple, e os detalhes do servidor RADIUS, que apontam para o endpoint de RADIUS-as-a-Service do Purple. Quando o visitante abre um navegador, o AP intercepta a requisição HTTP e a redireciona para a splash page da Purple. O visitante se autentica — via login social, e-mail, SMS ou um formulário personalizado, dependendo da sua configuração da Purple. O backend da Purple então envia uma mensagem RADIUS Access-Accept de volta para o AP, que concede ao visitante o acesso à internet e o move da função de pré-autenticação para a função de visitante autenticado. Os pacotes de bilhetagem RADIUS fluem durante toda a sessão, dando à Purple visibilidade sobre a duração da sessão e o uso de dados. Agora, a principal diferença em relação ao Aruba on-prem: no Aruba Central, você configura o perfil do External Captive Portal uma única vez, no nível do grupo, e ele se propaga para todos os APs desse grupo. Você não mexe em APs individuais. Isso é extremamente poderoso para implantações em múltiplos locais, mas exige que você estruture os grupos corretamente antes de começar. O Aruba Central organiza os dispositivos em Grupos e, dentro dos grupos, você pode ter Sites. Um Grupo é a unidade de configuração — SSIDs, perfis de rádio e políticas de segurança vivem todos no nível do grupo. Os Sites são a unidade de localização e monitoramento. Para uma rede de hotéis, uma estrutura sensata é um grupo por tipo de propriedade — por exemplo, Hotéis de Serviço Completo e Propriedades Econômicas — com cada hotel físico como um site separado dentro do grupo apropriado. A configuração da Purple então se mapeia para os grupos: um perfil de External Captive Portal por grupo, apontando para o mesmo endpoint RADIUS da Purple, mas potencialmente com diferentes temas de splash page por site usando a personalização em nível de local da Purple. O walled garden é um elemento de configuração crítico que as equipes frequentemente erram. Antes de um visitante se autenticar, o AP permite apenas tráfego de DNS e DHCP, além de quaisquer domínios que você explicitamente inclua na lista de permissões. Para que a Purple funcione, você deve incluir na lista de permissões o domínio do Captive Portal da Purple, quaisquer domínios de CDN que a Purple use para recursos e quaisquer domínios de provedores de login social se você estiver usando autenticação social — Facebook, Google, Apple. Se você esquecer de um domínio, a splash page carregará parcialmente ou a autenticação falhará silenciosamente. A documentação de suporte da Purple fornece a lista atual de walled garden, e vale a pena tratar essa lista como um documento vivo que você revisa sempre que a Purple atualiza sua plataforma. Seção três: Superfície da API do Aruba Central para automação. Se você estiver implantando em mais de cerca de vinte sites, a configuração manual através da interface do usuário do Central torna-se um gargalo. O Aruba Central expõe uma API REST abrangente — a Central API — que permite automatizar a criação de SSIDs, a atribuição de perfis de Captive Portal e a configuração de walled garden. A API é autenticada via OAuth 2.0, e você precisará gerar credenciais de API a partir do portal do Central. Os principais endpoints de API para uma integração com a Purple são: o endpoint de configuração de WLAN, que permite criar e atualizar perfis de SSID; o endpoint de perfil de Captive Portal externo, que é onde você define a URL de redirecionamento da Purple e os detalhes do servidor RADIUS; e os endpoints de gerenciamento de sites e grupos, que permitem atribuir dispositivos a sites e grupos de forma programática. Se você estiver integrando um novo local, poderá criar um script que cria o site no Central, atribui os APs ao site, aplica o modelo de grupo correto e configura o perfil de Captive Portal específico da Purple — tudo sem tocar na interface do usuário. A Purple também expõe sua própria API, que permite criar registros de locais, configurar temas de splash pages e extrair dados analíticos. Uma integração madura usará ambas as APIs juntas: a API do Central para gerenciar a camada de rede e a API da Purple para gerenciar a camada de experiência do visitante. Este é o padrão que grandes redes de varejo e grupos hoteleiros usam quando estão integrando dezenas de novos locais por trimestre. Seção quatro: Configuração passo a passo. Deixe-me guiar você pela sequência de configuração para um único site, que você poderá automatizar para escala posterior. Primeiro, no Aruba Central, navegue até o seu grupo de destino e abra a configuração de WLAN. Crie um novo SSID — por exemplo, Venue-Guest — e defina o nível de segurança como Visitantes. Essa é a terminologia da Aruba para uma rede aberta ou autenticada por Captive Portal. Segundo, na guia Segurança, defina o tipo de Splash Page como External Captive Portal. Crie um novo perfil de External Captive Portal. Dê a ele um nome descritivo — Purple-Guest-Portal funciona bem. Defina o Tipo de Autenticação como Autenticação RADIUS. Insira o hostname do servidor de Captive Portal da Purple no campo IP ou Hostname. Insira a URL de redirecionamento. Ative o HTTPS. Defina o comportamento de Falha do Captive Portal como Negar Internet, que é o padrão mais seguro. Terceiro, configure o servidor RADIUS. No Central, vá para as configurações do servidor de autenticação e adicione o servidor RADIUS-as-a-Service da Purple. Você precisará do IP ou hostname do servidor, do segredo compartilhado — que você gera na plataforma da Purple — e da porta de autenticação, que é a padrão 1812, com tarifação (accounting) na 1813. Adicione este servidor como o Servidor Primário para o seu SSID de convidados. Quarto, configure o walled garden. Nas regras de acesso do SSID, adicione o domínio do Captive Portal da Purple e quaisquer domínios de login social à lista de permissões. Teste isso com cuidado — a ausência de um domínio é a causa mais comum de falhas na splash page. Quinto, salve e envie a configuração. O Central enviará a configuração para todos os APs do grupo. Verifique em um dispositivo de teste se o redirecionamento funciona corretamente e se a autenticação é concluída. Seção cinco: Padrões de implantação em vários sites. Para uma implantação em cinquenta ou mais sites, você precisa de uma abordagem disciplinada. O padrão que recomendo é: piloto, modelo, automatização e validação. Pilote em um único site. Acerte a configuração perfeitamente — walled garden completo, RADIUS funcionando, splash page carregando de forma limpa, fluxo de accounting ativo. Documente o valor de cada parâmetro. Em seguida, crie essa configuração em um modelo de grupo do Central. O modelo se torna sua fonte de verdade. Para a implantação, use a API do Central para enviar o modelo para novos grupos à medida que você integra os sites. Se a sua implantação do Purple usa temas de splash page diferentes por marca ou região, parametrize o perfil do Captive Portal — a URL de redirecionamento pode incluir parâmetros de consulta que o Purple usa para exibir o tema correto. Isso significa que você pode ter um único endpoint RADIUS, mas várias experiências de splash page, todas gerenciadas centralmente. Valide cada site após a integração. Um script de validação simples que associa um dispositivo de teste, verifica o redirecionamento, autentica e verifica o acesso à internet detectará desvios de configuração antes que os visitantes percebam. O painel de analytics do Purple também mostrará se as sessões estão sendo registradas — se um site ficar sem dados nos relatórios do Purple, esse é o seu sinal de que algo está quebrado na camada de rede. Seção seis: Armadilhas de implementação. O walled garden é o ponto de falha número um. Teste com um dispositivo que não tenha sessões de portal ou DNS em cache. Use um perfil de navegador novo ou o modo de navegação anônima. A segunda armadilha é a incompatibilidade do segredo compartilhado do RADIUS. O segredo que você configura no Central deve corresponder exatamente ao segredo na plataforma do Purple. Uma diferença de um único caractere causará falhas silenciosas de autenticação — o AP não receberá resposta do servidor RADIUS e negará o visitante ou, se você configurou o modo de falha do Captive Portal para Permitir Internet, concederá acesso sem autenticação, o que é um risco de conformidade. A terceira armadilha é a configuração incorreta de VLAN. O tráfego de visitantes deve estar em uma VLAN dedicada, isolada da sua rede corporativa. No Aruba Central, isso é configurado nas configurações de VLAN do perfil do SSID. Se a sua VLAN de visitantes não estiver corretamente configurada como trunk na porta do switch de uplink, os APs subirão, mas os visitantes não receberão endereços DHCP. A quarta armadilha é a confiança do certificado no redirecionamento do Captive Portal. Os navegadores e sistemas operacionais modernos estão cada vez mais agressivos em relação à aplicação do HTTPS. O servidor de Captive Portal do Purple usa um certificado TLS válido, mas se o seu walled garden bloquear os endpoints OCSP ou CRL que o cliente usa para validar o certificado, você verá erros de certificado na splash page. Adicione esses endpoints ao seu walled garden. Seção sete: Perguntas rápidas. O Purple funciona com a arquitetura AOS-10 do Aruba Central tão bem quanto com a AOS-8? Sim. O mecanismo externo de Captive Portal é consistente em ambas as versões de firmware. O caminho da interface do usuário difere um pouco, mas os objetos de configuração subjacentes são os mesmos. Posso usar o RADIUS-as-a-Service da Purple sem executar minha própria infraestrutura RADIUS? Sim, esse é o objetivo. O RADIUS-as-a-Service da Purple é um servidor RADIUS hospedado na nuvem para o qual você aponta seus APs Aruba. Você não precisa de FreeRADIUS ou Cisco ISE locais. Esta integração suporta WPA3? O Aruba Central suporta WPA3 em APs compatíveis, e você pode habilitar o modo de transição WPA3 em seu SSID de visitante. O mecanismo de Captive Portal da Purple é agnóstico em relação à camada de criptografia — ele opera no nível de redirecionamento HTTP, não no nível de associação 802.11. Os dados que a Purple coleta estão em conformidade com a GDPR? A Purple foi projetada tendo a conformidade com a GDPR como um requisito fundamental. A splash page apresenta um mecanismo de consentimento, e o processamento de dados da Purple é regido pelo seu contrato de processamento de dados com eles. Para estabelecimentos na UE, certifique-se de que sua configuração da Purple inclua o texto de consentimento apropriado e que seu DPA esteja em vigor antes do lançamento. Seção oito: Resumo e próximos passos. Para resumir: O Aruba Central e a Purple se integram por meio do mecanismo de Captive Portal Externo, com a autenticação RADIUS gerenciada pelo serviço de RADIUS em nuvem da Purple. A configuração reside no nível do grupo no Central e se propaga para todos os APs do grupo — que é a principal diferença arquitetônica em relação ao Aruba local. Para implantações em vários locais, use a API do Central para automatizar o provisionamento e trate a configuração do seu site piloto como o modelo para tudo o que se segue. Seus próximos passos imediatos: primeiro, confirme se a estrutura de grupo do Aruba Central mapeia para a hierarquia de estabelecimentos da Purple. Segundo, obtenha a lista atual de domínios de walled garden e os detalhes do endpoint RADIUS da Purple no portal de suporte da Purple. Terceiro, execute um piloto em um único site e valide todo o fluxo de autenticação antes de escalar. Quarto, crie seus scripts de automação usando a API do Central e a API da Purple em paralelo. Se você está avaliando a Purple pela primeira vez, as páginas da plataforma de WiFi para visitantes e analytics em purple.ai oferecem uma visão clara do que você está obtendo além do Captive Portal — a captura de dados primários, a automação de marketing, o analytics de fluxo de pessoas. Esse é o caso de negócios que viabiliza o financiamento deste projeto. Obrigado por ouvir. Se você tiver dúvidas sobre esta integração, a equipe de soluções da Purple pode orientá-lo em uma prova de conceito dimensionada para o seu ambiente específico do Aruba Central.

header_image.png

Resumo Executivo

Para equipes de TI corporativas que gerenciam redes sem fio distribuídas, a migração de controladores locais para plataformas gerenciadas na nuvem, como o Aruba Central, altera fundamentalmente o modelo de implantação. Embora a mecânica principal dos Captive Portals e da autenticação RADIUS permaneça a mesma, o paradigma de configuração muda do gerenciamento centrado no dispositivo para o gerenciamento de políticas baseado em grupos.

Este guia fornece uma referência técnica abrangente para integrar o Aruba Central com a plataforma de inteligência de WiFi para convidados hospedada na nuvem da Purple. Abordamos as diferenças arquitetônicas entre implantações locais e gerenciadas na nuvem, a configuração passo a passo para Captive Portals externos e RADIUS-as-a-Service, e estratégias para automatizar implantações em vários locais usando a API do Aruba Central. Quer você esteja implantando o Guest WiFi em dezenas de escritórios regionais ou em uma rede global de lojas de varejo, esta referência fornece a orientação prática necessária para garantir uma integração segura, escalável e em conformidade.

Aprofundamento Técnico

Mudança Arquitetônica: Do Controlador para a Nuvem

Em uma implantação tradicional da Aruba, os Mobility Controllers atuam como os pontos de aplicação de políticas. Os perfis de Captive Portal, as regras de walled garden e as definições do servidor RADIUS são configurados diretamente no controlador. Quando um convidado se associa a um AP, seu tráfego é encapsulado de volta para o controlador, que lida com o redirecionamento HTTP para o Captive Portal e faz o proxy da autenticação RADIUS para o servidor de backend.

O Aruba Central opera em um modelo de aplicação distribuída. A aplicação das políticas ocorre na borda do Instant Access Point (IAP), enquanto a configuração é enviada a partir da nuvem. Os pontos de contato da integração mudam da configuração do dispositivo local para modelos de grupo, perfis de SSID e objetos de Captive Portal externos dentro da hierarquia de configuração do Central.

architecture_overview.png

A Purple se posiciona acima dessa camada de rede como uma plataforma de inteligência hospedada na nuvem. Ela fornece o mecanismo de Captive Portal, lida com a lógica de autenticação (incluindo login social, SMS e autenticação baseada em formulários), captura dados primários e envia análises de volta para suas equipes de marketing e operações por meio do painel de WiFi Analytics . A Purple também fornece RADIUS-as-a-Service, eliminando a necessidade de infraestrutura RADIUS local, como FreeRADIUS ou Cisco ISE, para autenticação de convidados.

O Fluxo de Autenticação

  1. Associação: O dispositivo de um convidado se associa ao SSID de convidados transmitido por um Aruba IAP.
  2. Função de Pré-Autenticação: O IAP atribui ao visitante uma função de pré-autenticação. Essa função permite apenas DNS, DHCP e tráfego destinado a domínios explicitamente permitidos no walled garden.
  3. Interceptação HTTP: Quando o visitante abre um navegador e tenta acessar um site HTTP, o IAP intercepta a solicitação.
  4. Redirecionamento: O IAP consulta seu perfil de Captive Portal externo e redireciona o navegador do visitante para a URL da splash page da Purple, anexando parâmetros como o endereço MAC do AP e o endereço MAC do cliente.
  5. Autenticação: O visitante se autentica por meio da splash page da Purple.
  6. RADIUS Access-Request: O backend da Purple envia um RADIUS Access-Request para o IAP (ou Virtual Controller) em nome do visitante.
  7. RADIUS Access-Accept: Após a autenticação bem-sucedida, a Purple envia uma mensagem RADIUS Access-Accept de volta ao IAP.
  8. Função Autenticada: O IAP move o visitante da função de pré-autenticação para a função de visitante autenticado, concedendo acesso total à internet.
  9. Contabilização (Accounting): O IAP envia pacotes RADIUS Accounting-Start e atualizações provisórias para a Purple ao longo da sessão, fornecendo visibilidade sobre a duração da sessão e o uso de dados.

Guia de Implementação

Esta seção descreve a configuração passo a passo necessária para integrar um único site no Aruba Central. Para implantações em múltiplos sites, esta configuração deve ser integrada a um Modelo de Grupo (Group Template).

Passo 1: Criar o SSID de Visitantes

  1. Na WebUI do Aruba Central, navegue até o contexto do grupo de destino.
  2. Em Gerenciar, clique em Dispositivos > Pontos de Acesso e, em seguida, clique no ícone Configuração.
  3. Selecione a guia WLANs e clique em + Adicionar SSID.
  4. Insira um nome para o SSID (ex: Venue-Guest).
  5. Na guia Segurança, defina o Nível de Segurança como Visitantes.

Passo 2: Configurar o Perfil de Captive Portal Externo

  1. Nas configurações de Segurança do SSID, selecione o tipo de Splash Page como Captive Portal externo.
  2. Clique no ícone + para criar um novo Perfil de Captive Portal.
  3. Nome: Insira um nome descritivo (ex: Purple-Portal).
  4. Tipo de Autenticação: Selecione Autenticação Radius.
  5. IP ou Nome de Host: Insira o nome de host do servidor de Captive Portal da Purple fornecido nas configurações do seu portal Purple.
  6. URL: Insira a URL de redirecionamento fornecida pela Purple.
  7. Usar HTTPS: Ative esta opção para impor uma comunicação segura.
  8. Falha no Captive Portal: Selecione Negar Internet para garantir que os visitantes não possam ignorar a autenticação se o portal estiver inacessível.

Passo 3: Configurar o RADIUS como Serviço

  1. Ainda nas configurações de Segurança do SSID, localize o campo Servidor Primário na configuração do Captive Portal externo.
  2. Clique no ícone + para adicionar um novo servidor de autenticação externo.
  3. Endereço IP: Insira o endereço IP ou nome de host do servidor RADIUS da Purple.
  4. Chave Compartilhada: Insira o segredo compartilhado RADIUS gerado no seu portal Purple. Crucial: Deve ser exatamente igual.
  5. Porta de Autenticação: 1812
  6. Porta de Contabilização: 1813
  7. Certifique-se de que o Accounting está ativado e configurado para um intervalo razoável (por exemplo, 5 minutos) para garantir o rastreamento preciso da sessão no painel da Purple.

Passo 4: Definir o Walled Garden

O walled garden é o elemento de configuração mais crítico. Ele define os domínios que um visitante pode acessar antes de se autenticar. Se o walled garden estiver incompleto, a splash page não carregará ou a autenticação social falhará.

  1. Nas configurações do SSID, navegue até as regras de Acesso (Access).
  2. Adicione regras para permitir o tráfego para os domínios do Captive Portal da Purple e endpoints de CDN.
  3. Se estiver usando login social (por exemplo, Facebook, Google, X), você deve adicionar os respectivos domínios para esses provedores de identidade. A Purple mantém uma lista atualizada dos domínios de walled garden necessários em sua documentação de suporte.

Passo 5: Configuração de VLAN e DHCP

Certifique-se de que o SSID de visitantes esteja mapeado para uma VLAN dedicada, isolada da sua rede corporativa.

  1. Na guia VLANs na configuração do SSID, selecione External DHCP server assigned (se estiver usando sua própria infraestrutura de DHCP) ou Instant AP assigned (se o Virtual Controller estiver gerenciando o DHCP e NAT para visitantes).
  2. Especifique o ID da VLAN correto para a rede de visitantes.

Melhores Práticas para Implantações em Múltiplos Locais

Ao implantar em dezenas ou centenas de locais — seja no setor de Varejo , Hotelaria ou Saúde — a configuração manual é propensa a erros. É necessária uma abordagem disciplinada e automatizada.

multisite_rollout.png

1. Estrutura de Grupo e Hierarquia

Alinhe a estrutura de grupos do Aruba Central com a hierarquia dos seus locais. Um padrão comum é criar grupos com base no tipo de local ou marca (por exemplo, "Lojas Conceito" vs. "Lojas Temporárias"). O perfil do External Captive Portal é aplicado no nível do grupo, o que significa que todos os APs desse grupo herdam as mesmas configurações de integração da Purple.

2. Redirecionamentos Parametrizados

Se locais diferentes exigirem temas de splash page diferentes, você não precisa de perfis de Captive Portal separados para cada local. A Purple permite que você use uma única URL de redirecionamento que exibe dinamicamente o tema correto com base no endereço MAC do AP ou em um parâmetro personalizado anexado à URL pelo AP Aruba.

3. Provisionamento Baseado em API

Aproveite a REST API do Aruba Central para automatizar o onboarding de locais. A API do Central permite criar SSIDs de forma programática, atribuir perfis de Captive Portal e atualizar listas de walled garden. Quando combinada com a API da Purple, você pode criar um fluxo de trabalho de provisionamento zero-touch:

  • Gatilhos de script: Um novo local é adicionado ao seu CMDB.
  • API da Purple: Cria o registro do local na Purple e gera o segredo RADIUS.
  • API do Central: Cria o site no Aruba Central, atribui os APs, aplica o modelo de grupo e injeta o segredo RADIUS da Purple.

4. Consolidação de SSID

Evite a tentação de transmitir múltiplos SSIDs de convidados para diferentes tipos de usuários (por exemplo, "Convidado", "Terceirizado", "Fornecedor"). Conforme detalhado em nosso guia sobre Indoor Positioning System: UWB, BLE, & WiFi Guide , SSIDs excessivos degradam o desempenho de RF ao consumir tempo de transmissão valioso com frames de beacon. Transmita um único SSID e use a lógica de autenticação da Purple para atribuir diferentes funções ou limites de largura de banda com base na identidade do usuário.

Solução de Problemas e Mitigação de Riscos

Modos de Falha Comuns

  • A Splash Page Não Carrega: Quase sempre se trata de um problema de walled garden. O dispositivo do convidado está tentando carregar um recurso (por exemplo, uma fonte, uma imagem ou um arquivo CSS) de um domínio que não é permitido antes da autenticação. Use as ferramentas de desenvolvedor do navegador em um dispositivo de teste para identificar as solicitações bloqueadas.
  • Falhas Silenciosas de Autenticação: Se a splash page carrega, o usuário se autentica, mas o acesso à internet não é concedido, o problema geralmente é uma incompatibilidade de segredo compartilhado do RADIUS ou um firewall bloqueando as portas UDP 1812/1813 entre o AP e os servidores RADIUS da Purple.
  • Erros de Certificado no Redirecionamento: Os sistemas operacionais modernos exigem validação HTTPS estrita. Se o seu walled garden bloquear o acesso aos endpoints da Lista de Revogação de Certificados (CRL) ou do Protocolo de Status de Certificado Online (OCSP) usados pelo dispositivo cliente para validar o certificado TLS da Purple, o navegador exibirá um aviso de segurança. Certifique-se de que esses endpoints estejam na lista de permissões.

Mitigação de Riscos: Conformidade e Privacidade

Ao implantar WiFi para convidados, você está processando dados pessoais. A integração deve ser projetada considerando as regulamentações de privacidade.

  • GDPR e CCPA: Certifique-se de que sua splash page da Purple apresente termos e condições claros e mecanismos de consentimento explícitos para a captura de dados. Para mais contexto sobre os impactos regulatórios, consulte nosso informativo sobre o EU AI Act and Guest WiFi: What Marketers Need to Know .
  • PCI DSS: O tráfego de convidados deve ser logicamente separado das redes de processamento de pagamentos. Verifique se a VLAN atribuída ao SSID de convidados no Aruba Central não pode rotear para sua infraestrutura de ponto de venda (POS).

ROI e Impacto nos Negócios

A transição para uma integração gerenciada na nuvem entre o Aruba Central e a Purple entrega valor comercial mensurável:

  • Redução de TCO: A eliminação de controladores locais e servidores RADIUS locais reduz os custos de hardware e as despesas operacionais de manutenção.
  • Agilidade Operacional: O gerenciamento de políticas baseado em grupos e o provisionamento orientado por API permitem que as equipes de TI implantem novos sites em minutos, em vez de dias.
  • Inteligência Acionável: Ao conectar perfeitamente a borda da rede à plataforma de analytics da Purple, os estabelecimentos ganham visibilidade imediata sobre o fluxo de pessoas, tempos de permanência e dados demográficos dos clientes, transformando um centro de custo (WiFi para convidados) em um ativo gerador de receita.

Ouça nosso podcast de análise aprofundada para obter mais insights:

Definições principais

External Captive Portal Profile

Um objeto de configuração no Aruba Central que define a URL de redirecionamento e os detalhes do servidor de autenticação para uma plataforma de WiFi de convidados de terceiros, como a Purple.

Este é o principal ponto de integração onde as equipes de TI vinculam sua rede Aruba aos serviços em nuvem da Purple.

Walled Garden

Um conjunto de regras de acesso que permite o tráfego para endereços IP ou domínios específicos antes que o usuário seja autenticado.

Essencial para permitir que os dispositivos dos convidados carreguem a splash page da Purple, acessem provedores de login social e validem certificados TLS antes de obter acesso total à internet.

RADIUS-as-a-Service

Um servidor RADIUS hospedado na nuvem e fornecido pela Purple que lida com a autenticação e a tarifação (accounting) para sessões de WiFi de convidados.

Elimina a necessidade de as equipes de TI corporativas implantarem e manterem infraestrutura RADIUS local para acesso de convidados.

Pre-Authentication Role

O estado inicial atribuído a um dispositivo de convidado após a associação com o SSID, restringindo o acesso apenas a DNS, DHCP e destinos do walled garden.

Garante a segurança ao impedir que dispositivos não autenticados acessem a internet ou a rede corporativa.

Group Template

Uma estrutura de configuração hierárquica no Aruba Central que permite que políticas e configurações de SSID sejam aplicadas uniformemente em múltiplos pontos de acesso.

O mecanismo fundamental para alcançar implantações multi-site escaláveis e consistentes.

RADIUS Accounting

O processo pelo qual o ponto de acesso envia dados de sessão (hora de início, duração, dados transferidos) para o servidor RADIUS.

Crítico para a Purple fornecer análises precisas sobre tempo de permanência e consumo de largura de banda no painel de WiFi Analytics.

OCSP/CRL Endpoints

Endpoints do Online Certificate Status Protocol e da Certificate Revocation List usados pelos navegadores para verificar a validade de um certificado SSL/TLS.

Se esses endpoints forem bloqueados pelo walled garden, os dispositivos modernos exibirão avisos de segurança em vez da splash page da Purple.

OAuth 2.0

O protocolo padrão do setor para autorização, usado para proteger o acesso à API REST do Aruba Central.

As equipes de TI devem gerar credenciais OAuth para programar e automatizar o provisionamento de novos sites e perfis de Captive Portal.

Exemplos práticos

Um hotel de 200 quartos está migrando de Aruba Mobility Controllers locais para o Aruba Central. Eles precisam replicar sua integração existente com o Purple WiFi, que usa uma página de login personalizada e login social, em 45 pontos de acesso. Como a equipe de TI deve abordar a configuração?

A equipe de TI deve primeiro criar um Grupo dedicado no Aruba Central para o hotel. Dentro deste grupo, eles configuram um novo SSID de convidados com o nível de segurança definido como 'Visitantes'. Em seguida, devem criar um perfil de Captive Portal externo apontando para a URL de redirecionamento da Purple e configurar o endpoint de RADIUS-as-a-Service da Purple como o servidor de autenticação primário. Crucialmente, como usam login social, a equipe deve configurar as regras de acesso do SSID (o walled garden) para permitir explicitamente o tráfego para os domínios da Purple, endpoints de CDN e os domínios específicos exigidos pelos provedores de identidade social (ex: Facebook, Google) antes da autenticação. Finalmente, os APs são atribuídos ao grupo, herdando automaticamente a configuração.

Comentário do examinador: Esta abordagem aproveita corretamente a arquitetura baseada em grupos do Aruba Central. Ao aplicar a configuração no nível do grupo, em vez de por AP, a implantação é escalável e consistente. A menção explícita de configurar o walled garden para domínios de login social demonstra a compreensão do ponto de falha mais comum em integrações de Captive Portal gerenciadas na nuvem.

Uma rede de varejo está implantando o Purple WiFi em 150 lojas gerenciadas pelo Aruba Central. Eles querem um tema de página de login diferente para suas lojas conceito em comparação com suas lojas padrão, mas querem minimizar o esforço de configuração. Como eles podem alcançar isso?

Em vez de criar Grupos do Aruba Central separados e perfis de Captive Portal externos distintos para cada tipo de loja, a rede pode usar um único Modelo de Grupo e uma única URL de redirecionamento. A plataforma da Purple permite que a URL de redirecionamento exiba dinamicamente diferentes temas de página de login com base em parâmetros anexados pelo AP Aruba, como o endereço MAC do AP ou o ID do Site. A equipe de TI configura um perfil de Captive Portal externo no Central e gerencia o mapeamento de temas inteiramente dentro da plataforma Purple.

Comentário do examinador: Esta solução demonstra conhecimento avançado dos recursos de integração. O uso de redirecionamentos parametrizados reduz a carga de configuração no Aruba Central e centraliza o gerenciamento da experiência do convidado dentro da Purple, alinhando-se com as melhores práticas para escala corporativa.

Questões práticas

Q1. Você configurou um perfil de Captive Portal externo no Aruba Central apontando para o Purple. Os visitantes se conectam ao SSID, mas seus navegadores exibem um erro genérico de 'Não é possível acessar o servidor' em vez da splash page. Qual é a causa mais provável?

Dica: Considere qual tráfego é permitido antes que um visitante se autentique com sucesso.

Ver resposta modelo

A causa mais provável é uma configuração de walled garden incompleta ou ausente. Antes da autenticação, o AP descarta todo o tráfego, exceto DNS, DHCP e o tráfego destinado a domínios explicitamente permitidos nas regras de acesso. Você deve garantir que os domínios do captive portal do Purple e os endpoints de CDN estejam na whitelist.

Q2. Sua organização está implantando o Purple WiFi em 50 escritórios regionais. Você deseja garantir que, se o servidor RADIUS do Purple ficar temporariamente inacessível, os visitantes não recebam acesso não autenticado à internet. Qual configuração você deve definir no perfil de Captive Portal externo?

Dica: Procure pelo parâmetro de configuração que dita o comportamento quando o servidor externo falha.

Ver resposta modelo

Você deve definir o comportamento de 'Captive Portal Failure' para 'Deny Internet'. Essa abordagem de falha fechada (fail-closed) garante a segurança e a conformidade, impedindo o acesso não autenticado se o servidor RADIUS não puder ser alcançado.

Q3. Após uma implantação bem-sucedida, a equipe de marketing relata que o painel de analytics do Purple mostra os logins dos visitantes, mas todas as sessões exibem uma duração de 0 minutos e 0 bytes de dados utilizados. Qual etapa de configuração de rede foi esquecida?

Dica: Pense em como a duração da sessão e o uso de dados são comunicados do AP para o servidor de autenticação.

Ver resposta modelo

O RADIUS Accounting provavelmente não foi ativado, ou a porta de accounting (1813) está bloqueada por um firewall. O AP usa pacotes RADIUS Accounting-Start, Interim-Update e Stop para relatar as métricas de sessão ao Purple. Sem eles, o Purple sabe que um login ocorreu, mas não tem visibilidade dos detalhes da sessão.

Continue a ler esta série

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Ler o guia →

Integração de Access Points Grandstream GWN com Purple WiFi

Este guia de referência técnica detalhado explica como integrar os access points Grandstream GWN com o Guest WiFi e a plataforma de analytics da Purple. Ele abrange a configuração do Captive Portal Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários via 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas passo a passo para MSPs e equipes de TI que implantam WiFi para visitantes e funcionários em escala.

Ler o guia →