Skip to main content
Português (Brasil)
Preços

Aruba ClearPass e Purple WiFi: Guia de Integração e Implantação

Este guia fornece uma referência técnica completa para integrar o HPE Aruba ClearPass Policy Manager com a plataforma Purple WiFi, cobrindo a arquitetura de proxy RADIUS, configuração de Captive Portal e mapeamento dinâmico de função VLAN. Ele é projetado para gerentes de TI e arquitetos de rede em ambientes com forte presença Aruba que precisam manter o ClearPass para NAC enquanto implantam o Purple para autenticação de convidados e análises. A implementação desta integração preenche uma lacuna crítica de fornecedor, permitindo segurança e conformidade de nível empresarial juntamente com as capacidades líderes de mercado de inteligência de visitantes do Purple.

📖 9 min de leitura📝 2,154 palavras🔧 2 exemplos4 perguntas📚 9 termos-chave

🎧 Ouça este Guia

Ver Transcrição
Welcome to this technical briefing on integrating HPE Aruba ClearPass with the Purple WiFi platform. I'm your host, and today we're diving deep into the architecture, deployment strategies, and operational benefits of combining ClearPass Policy Manager's robust network access control with Purple's industry-leading guest WiFi and analytics capabilities. For IT managers, network architects, and CTOs managing large-scale venues — whether that's a sprawling retail chain, a high-density stadium, or a complex healthcare campus — delivering secure, segmented, and insightful wireless access is paramount. ClearPass is phenomenal at context-aware policy enforcement and 802.1X authentication for corporate devices. However, when it comes to guest onboarding, captive portals, and extracting actionable marketing analytics from visitor data, Purple is the undisputed leader. The core question we're answering today is: How do you configure ClearPass to use Purple as the captive portal, while retaining ClearPass for NAC and dynamic role-based VLAN assignment? Let's get into it. First, let's establish the architecture. At a high level, the integration relies on standard RADIUS protocols and HTTP redirect mechanisms. Your Aruba Mobility Controllers or Instant Access Points broadcast the guest SSID. When an unauthenticated device connects, the controller intercepts the HTTP traffic and redirects the user's browser to the Purple captive portal. This redirect is the first critical piece to get right. Now, the user authenticates via Purple. This might be a social login through Facebook or Google, a custom email and password form, or even OpenRoaming, where Purple acts as a free identity provider under the Connect licence. Once Purple validates the user, it sends a RADIUS Access-Accept message back through the chain to the controller, which then grants network access. But here's where ClearPass becomes essential. Rather than the Aruba controller talking directly to Purple's RADIUS servers, you insert ClearPass as a RADIUS proxy in the middle. The controller sends all RADIUS requests to ClearPass. ClearPass evaluates the request and, if it matches your guest service routing policy, forwards it to Purple's cloud RADIUS servers. Purple responds, and ClearPass passes that response back to the controller, but crucially, it can append its own policy attributes before doing so. This proxy architecture gives you the best of both worlds. ClearPass maintains a complete audit log of every authentication event on your network, both corporate and guest. You get a single pane of glass for security operations. And Purple handles the user-facing experience and analytics without you needing to replace your existing NAC investment. Let's talk about dynamic VLAN assignment, because this is where things get really powerful — and where most deployments run into trouble if they're not careful. ClearPass uses a concept called Roles and Enforcement Profiles. When an authentication request comes in, ClearPass evaluates the context: who is the user, what device are they on, what time is it, what location are they connecting from? Based on these factors, it assigns a Role. For a standard guest, that might be ROLE_GUEST. For a VIP, it might be ROLE_VIP. For a contractor, ROLE_CONTRACTOR. This Role is then mapped to an Enforcement Profile, which defines the specific RADIUS attributes to return to the Aruba controller. The most important attribute here is the Aruba-User-Role Vendor-Specific Attribute, or VSA. This tells the controller exactly which role to place the user in on the wireless side. On the Aruba controller, each role maps to a specific VLAN and a set of firewall policies. So ROLE_GUEST maps to VLAN 20, with internet-only access and a 10 megabit per second bandwidth limit. ROLE_VIP maps to VLAN 40, with a 50 megabit limit. ROLE_IOT maps to VLAN 30, a completely isolated segment with no internet access, just local connectivity for smart devices. This segmentation is not just good practice — it's a compliance requirement. Under PCI DSS, any network that touches cardholder data must be isolated from guest networks. Under GDPR, you need to be able to demonstrate that personal data collected through the guest portal is handled appropriately and that guest traffic cannot traverse your corporate infrastructure. Now, let me walk you through a real-world scenario. A large hotel chain with 500 rooms across multiple properties. They have Aruba controllers at every site, ClearPass deployed centrally, and they want to roll out Purple for guest WiFi. The deployment looks like this. Two SSIDs per site: Hotel_Corp and Hotel_Guest. Hotel_Corp uses 802.1X with certificates, authenticated against Active Directory via ClearPass. Hotel_Guest is an open SSID that triggers the Purple captive portal. In ClearPass, they create two Services. Service One matches Hotel_Corp and handles 802.1X authentication locally. Service Two matches Hotel_Guest and uses a RADIUS Routing Policy to proxy requests to Purple. The Enforcement Policy for Service Two returns the Aruba-User-Role of guest-authenticated, which maps to VLAN 20 on the controller. For IoT devices — smart TVs, thermostats, door locks — they use a third SSID, Hotel_IoT, with MAC-based authentication. ClearPass profiles the device using its OUI and assigns ROLE_IOT, dropping it into VLAN 30. The result? Staff get full corporate access. Guests get a branded, engaging portal experience with social login and marketing opt-ins. IoT devices are isolated. And the IT team has complete visibility across all three user types in ClearPass's Access Tracker. Now let's talk about the pitfalls, because there are several that will catch you out if you're not prepared. Number one: the walled garden. This is the most common source of captive portal failures. Before a device is authenticated, the Aruba controller only allows traffic to a pre-defined list of destinations — the walled garden. If Purple's portal URL, its backend API endpoints, and the social login provider domains are not in that list, the portal simply won't load. You need to maintain this list proactively. Social login providers like Facebook and Google regularly change their IP ranges and CDN domains. Treat the walled garden as a living configuration. Number two: RADIUS timeouts. The default RADIUS timeout on most Aruba controllers is three seconds. In a proxy architecture, the request travels from the AP to the controller, to ClearPass, across the internet to Purple's cloud RADIUS, and back. On a congested network, that round trip can easily exceed three seconds. Increase your timeout to at least ten seconds and configure retry logic. Number three: shared secret mismatches. This one causes silent failures that are notoriously difficult to diagnose. The shared secret between the Aruba controller and ClearPass must match exactly. The shared secret between ClearPass and Purple's RADIUS servers must also match exactly. A single character difference will cause authentication to fail with no meaningful error message to the end user. Always double-check these. Number four: role name case sensitivity. The Aruba-User-Role VSA returned by ClearPass must exactly match — including capitalisation — the role name defined on the Aruba controller. If ClearPass returns guest-authenticated but the controller has Guest-Authenticated defined, the user will fall back to the default role, which is typically the logon role with no internet access. Number five: RADIUS accounting. Many deployments configure authentication proxying correctly but forget to proxy accounting as well. Purple uses RADIUS accounting data to track session duration, data usage, and to populate its analytics dashboards. If accounting isn't flowing to Purple, your analytics will be incomplete. Let's move to the rapid-fire questions section. Can I use a single SSID for both employees and guests? Yes, you can. Configure ClearPass to handle both 802.1X and MAC-Auth on the same SSID. Use Service Rules to differentiate the traffic type and route accordingly. It's more complex to manage but reduces SSID proliferation. Does Purple support Change of Authorization? Yes. CoA allows the controller to dynamically update a user's session without requiring them to reconnect. This is useful for time-limited access or tier upgrades. Can I use this integration with Aruba Instant rather than a full Mobility Controller? Yes, Aruba Instant supports external RADIUS servers and captive portal redirect. The configuration is slightly different but the principles are identical. Does this integration work with WPA3? Yes. WPA3-SAE for personal networks and WPA3-Enterprise for 802.1X are both supported. For guest networks using captive portals, WPA3-SAE or an open SSID with Opportunistic Wireless Encryption are the typical choices. To summarise today's briefing. The ClearPass and Purple integration is a RADIUS proxy architecture. ClearPass remains your central policy decision point for all network access. Purple handles the guest-facing experience and analytics. The Aruba controller enforces the resulting policies through dynamic VLAN assignment. The three most critical configuration elements are the walled garden, RADIUS timeouts, and role name consistency. Get those right, and you have a robust, compliant, and commercially valuable guest WiFi deployment. Thank you for listening. If you want to explore this further, visit purple.ai to speak with a solutions architect about your specific deployment.

header_image.png

Resumo Executivo

Para ambientes empresariais com grande investimento em infraestrutura HPE Aruba, gerenciar políticas complexas de acesso à rede enquanto oferece uma experiência de guest WiFi fluida e rica em dados apresenta um desafio arquitetônico significativo. Embora o ClearPass Policy Manager se destaque no Network Access Control (NAC) e na autenticação IEEE 802.1X para dispositivos corporativos, os operadores de locais exigem cada vez mais os recursos avançados de Captive Portal, análise e marketing fornecidos pelo Purple WiFi.

Este guia detalha a arquitetura e a estratégia de implantação para integrar o Aruba ClearPass com o Purple WiFi usando um modelo de proxy RADIUS. Ao configurar o ClearPass para atuar como proxy de solicitações de autenticação de convidados para o RADIUS-as-a-Service do Purple, as organizações podem manter políticas de segurança centralizadas, aplicar atribuições dinâmicas de VLAN baseadas em função e, simultaneamente, aproveitar a robusta plataforma de insights de visitantes do Purple. Esta integração é crítica para implantações em larga escala em Varejo , Hotelaria , Saúde e centros de Transporte , onde conformidade, segurança e engajamento do cliente devem coexistir sem compromisso. O resultado é uma implantação onde o ClearPass decide, o Purple engaja e o Aruba aplica.

Análise Técnica Aprofundada

Visão Geral da Arquitetura

A integração baseia-se em uma arquitetura de proxy RADIUS padrão, sustentada pelo RFC 2865 (RADIUS) e RFC 5176 (Dynamic Authorisation Extensions). O Aruba Mobility Controller ou cluster Instant AP é configurado para usar o ClearPass como seu servidor RADIUS primário para todos os SSIDs. O ClearPass lida com a autenticação corporativa 802.1X localmente contra o Active Directory ou uma autoridade de certificação interna, mas é configurado com uma política de Roteamento de Serviço RADIUS para encaminhar solicitações de autenticação de convidados para os servidores RADIUS em nuvem do Purple.

architecture_overview.png

Esta arquitetura preserva o investimento no ClearPass como o ponto central de decisão de política, enquanto delega a camada de experiência do convidado inteiramente ao Purple. Cada evento de autenticação — corporativo ou convidado — é registrado no Access Tracker do ClearPass, fornecendo um registro de auditoria unificado que satisfaz os requisitos de conformidade sob PCI DSS v4.0 e GDPR Artigo 30 (Registros de Atividades de Processamento).

Fluxo de Autenticação: Passo a Passo

Compreender a sequência precisa de eventos é essencial tanto para a implantação inicial quanto para a solução de problemas subsequente. O fluxo para um dispositivo convidado é o seguinte.

Passo Ator Ação
1 Dispositivo Convidado Associa-se ao SSID de Convidado aberto
2 Aruba Controller Atribui IP de pré-autenticação e coloca o dispositivo na função de logon
3 Dispositivo Convidado Envia solicitação HTTP (por exemplo, http://example.com )
4 Aruba Controller Intercepta e redireciona HTTP 302 para a URL do portal Purple
5 Dispositivo Convidado Carrega o Captive Portal Purple via walled garden
6 Usuário Convidado Autentica (login social, formulário ou OpenRoaming)
7 Plataforma Purple Envia RADIUS Access-Request para o Aruba Controller
8 Aruba Controller Encaminha solicitação RADIUS para o ClearPass
9 ClearPass Corresponde à Regra de Serviço de convidado, atua como proxy para o RADIUS Purple
10 Purple RADIUS Retorna Access-Accept
11 ClearPass Anexa VSAs Aruba (User-Role), encaminha Accept
12 Aruba Controller Move o dispositivo para a função pós-autenticação, atribui VLAN de convidado

O comportamento do mecanismo de detecção de Captive Portal — especificamente o Captive Network Assistant (CNA) da Apple, a verificação de conectividade do Android e o Microsoft NCSI — tem um impacto direto sobre se o portal carrega corretamente. Para uma análise detalhada desses comportamentos de nível de OS, consulte Apple CNA, Android Connectivity Check, Microsoft NCSI: Como a Detecção de Captive Portal Realmente Funciona .

Atribuição Dinâmica de VLAN e Mapeamento de Função ClearPass

A segmentação de rede é um requisito inegociável para a conformidade com PCI DSS e uma arquitetura de segurança sólida. O ClearPass permite a atribuição dinâmica de VLAN através de sua estrutura de Mapeamento de Função e Perfil de Aplicação.

vlan_role_mapping.png

Quando o ClearPass processa uma solicitação de autenticação, ele avalia atributos contextuais — identidade do usuário, tipo de dispositivo (perfilado via DHCP fingerprinting ou HTTP User-Agent), hora do dia e local de conexão — e atribui uma Função. Esta Função é então mapeada para um Perfil de Aplicação que retorna atributos RADIUS específicos para o controlador Aruba, sendo o mais crítico o Atributo Específico do Fornecedor Aruba-User-Role (VSA, ID do Fornecedor 14823, Atributo 1).

O controlador Aruba mapeia cada User-Role para uma VLAN e um conjunto de políticas de firewall com estado. Um modelo de segmentação representativo para um grande local é mostrado abaixo.

Tipo de Usuário Função ClearPass VLAN Política de Largura de Banda Política de Firewall
Funcionário Corporativo ROLE_CORP 10 100 Mbps Acesso interno total
Convidado Padrão ROLE_GUEST 20 10 Mbps Somente Internet
Dispositivo IoT ROLE_IOT 30 5 Mbps Somente local, sem internet
Convidado VIP / Premium ROLE_VIP 40 50 Mbps Internet + serviços selecionados
Contratado ROLE_CONTRACTOR 50 20 Mbps Acesso interno limitado

Configuração de Proxy RADIUS no ClearPass

A configuração de proxy RADIUS no ClearPass Policy Manager requer três componentes: um Destino de Proxy RADIUS (definindo os endpoints do servidor RADIUS do Purple), uma Política de Roteamento de Serviço (definindo quais solicitações devem ser proxy) e um Perfil de Aplicação (definindo os VSAs a serem anexados no caminho de retorno).

O Proxy Target é configurado em Administration > External Servers > RADIUS Servers. Adicione os endereços IP RADIUS da Purple (disponíveis no portal Purple em Hardware > RADIUS Settings), o segredo compartilhado e a porta de autenticação (UDP 1812) e a porta de contabilidade (UDP 1813).

O Serviço é configurado em Configuration > Services. Crie um novo serviço com o tipo definido como RADIUS Proxy. Em Service Rules, adicione uma condição que corresponda ao Called-Station-ID (o nome do SSID) ou NAS-Identifier para identificar o tráfego de convidados. Em Authentication, selecione o RADIUS Proxy Target criado acima.

Criticamente, certifique-se de que o RADIUS Accounting também seja proxy para a Purple. A Purple usa dados de contabilidade (Acct-Start, Acct-Interim-Update, Acct-Stop) para preencher a duração da sessão, o consumo de dados e os dados de presença em tempo real em sua plataforma de WiFi Analytics . Omitir a contabilidade é um erro comum de implantação que resulta em painéis de análise incompletos.

Guia de Implementação

Fase 1: Configuração do Controlador Aruba

Passo 1 — Defina o ClearPass como Servidor RADIUS. Navegue até Configuration > Security > Authentication Servers. Adicione os endereços IP primário e secundário do ClearPass. Defina o segredo compartilhado, a porta de autenticação (1812) e a porta de contabilidade (1813). Configure o tempo limite para 10 segundos e as tentativas para 3 para considerar o salto do proxy para a infraestrutura de nuvem da Purple.

Passo 2 — Configure o SSID de Convidado. Crie um novo perfil de SSID para acesso de convidados. Defina o modo de segurança como Open ou WPA3-SAE (recomendado para conformidade com GDPR). No perfil AAA, defina a função inicial para uma função de logon predefinida que tenha apenas acesso ao walled garden.

Passo 3 — Configure o Perfil do Captive Portal. Crie um perfil de captive portal apontando para a URL da página de splash da Purple. Esta URL é obtida no portal Purple em Locations > [Your Venue] > Splash Page URL. Habilite a opção de redirecionar para a URL original após a autenticação.

Passo 4 — Configure o Walled Garden. Este é o passo mais sensível operacionalmente. O walled garden deve incluir os domínios do portal da Purple, endpoints de CDN e todos os domínios de provedores de login social. No mínimo, inclua:

  • *.purple.ai e *.purple-portal.com
  • *.facebook.com, *.fbcdn.net (para login do Facebook)
  • *.google.com, *.googleapis.com (para login do Google)
  • Endpoint de verificação CNA da Apple: captive.apple.com
  • Microsoft NCSI: www.msftconnecttest.com

Passo 5 — Defina as Funções Pós-Autenticação. Crie as funções que o ClearPass atribuirá após a autenticação (por exemplo, guest-authenticated). Cada função mapeia para uma VLAN e uma política de firewall que permite acesso apenas à internet.

Fase 2: Configuração do ClearPass Policy Manager

Passo 1 — Adicione Controladores Aruba como Dispositivos de Rede. Em Configuration > Network > Devices, adicione cada controlador Aruba com seu IP de gerenciamento, segredo compartilhado e fornecedor (Aruba Networks).

Passo 2 — Adicione a Purple como um RADIUS Proxy Target. Em Administration > External Servers > RADIUS Servers, adicione os endpoints RADIUS da Purple com o segredo compartilhado fornecido no portal Purple.

Passo 3 — Crie o Serviço de Autenticação de Convidado. Em Configuration > Services, crie um novo serviço. Defina o tipo de serviço como RADIUS Proxy. Configure as Service Rules para corresponder ao SSID de convidado (por exemplo, Called-Station-SSID EQUALS GuestWiFi). Em Authentication, selecione o Purple RADIUS Proxy Target.

Passo 4 — Crie o Perfil de Aplicação. Em Configuration > Enforcement > Profiles, crie um perfil de aplicação RADIUS. Adicione o atributo Aruba-User-Role com o valor guest-authenticated. Isso instrui o controlador Aruba a mover o usuário para a função de convidado pós-autenticação.

Passo 5 — Configure o Proxy de Contabilidade. Certifique-se de que o serviço também esteja configurado para fazer proxy do RADIUS Accounting para o servidor de contabilidade da Purple (UDP 1813).

Fase 3: Configuração da Plataforma Purple

Passo 1 — Registre o Hardware. No portal Purple, navegue até Locations > Hardware. Adicione o endereço IP público do controlador Aruba ou NAS-Identifier. Isso permite que a Purple associe as solicitações de autenticação ao local correto.

Passo 2 — Configure a Página de Splash. Projete a experiência do captive portal usando o construtor de portal da Purple. Configure métodos de autenticação, termos e condições e campos de opt-in de marketing em conformidade com o GDPR.

Passo 3 — Recupere as Credenciais RADIUS. Em Locations > [Venue] > RADIUS Settings, recupere os endereços IP do servidor RADIUS, segredo compartilhado e portas. Use esses valores na configuração do ClearPass Proxy Target.

Melhores Práticas

Manutenção do Walled Garden. Trate o walled garden como uma configuração viva. Provedores de login social atualizam regularmente seus domínios CDN e faixas de IP. Estabeleça um processo de revisão trimestral e assine as notificações de alteração dos principais provedores.

Redundância RADIUS. Configure ambos os IPs do servidor RADIUS da Purple no ClearPass para failover. Da mesma forma, implante o ClearPass em um cluster de assinante/editor para eliminar pontos únicos de falha no caminho de autenticação.

Integridade da Contabilidade. Verifique se os registros de RADIUS Accounting Stop estão sendo recebidos pela Purple para cada sessão. Sessões órfãs (Start sem Stop) indicam um problema de rede e distorcerão os dados de análise.

Gerenciamento de Certificados para 802.1X. Para SSIDs corporativos usando EAP-TLS ou PEAP, certifique-se de que os certificados do servidor sejam renovados bem antes do vencimento. Um certificado expirado bloqueará todos os dispositivos corporativos simultaneamente — um incidente de alto impacto.

Criação de Perfil de Dispositivos IoT. Aproveite o ClearPass Device Insight ou o mecanismo de criação de perfil integrado para classificar automaticamente os dispositivos IoT por OUI e impressão digital DHCP. Isso permite a atribuição automatizada de VLAN sem gerenciamento manual de endereços MAC.

Conformidade com GDPR. A Purple captura dados pessoais (e-mail, nome, perfil social) durante a autenticação de convidados. Certifique-se de que sua página de splash da Purple inclua um aviso de privacidade em conformidade ed que as políticas de retenção de dados no portal Purple se alinham com as obrigações de GDPR da sua organização.

Solução de Problemas e Mitigação de Riscos

Captive Portal Não Exibido

Sintoma: O cliente se conecta ao guest SSID, mas nenhum portal aparece; o dispositivo mostra "Conectado, sem internet."

Diagnóstico: Use uma captura de pacotes no uplink do controlador para verificar se as consultas DNS para a URL do portal estão sendo resolvidas e se o tráfego HTTP está sendo interceptado. Verifique se os endpoints de verificação CNA/NCSI estão no walled garden.

Resolução: Adicione os domínios ausentes ao walled garden. Verifique se o perfil do Captive Portal está corretamente associado ao perfil AAA do guest SSID.

Falhas de Autenticação Silenciosas

Sintoma: O usuário preenche o formulário do portal, mas o acesso à rede é negado. O ClearPass Access Tracker mostra um Access-Reject.

Diagnóstico: Abra a entrada do Access Tracker e examine o motivo da falha de autenticação. Causas comuns são incompatibilidade de shared secret RADIUS, servidor RADIUS Purple inacessível ou uma Service Rule incorreta que corresponde ao serviço errado.

Resolução: Verifique os shared secrets tanto nas pernas Aruba controller-to-ClearPass quanto ClearPass-to-Purple. Teste a acessibilidade do RADIUS Purple a partir do servidor ClearPass usando radtest.

Atribuição Incorreta de VLAN

Sintoma: O convidado autentica com sucesso, mas recebe um endereço IP na sub-rede corporativa (VLAN 10).

Resolução: Verifique se o valor Aruba-User-Role no ClearPass Enforcement Profile corresponde exatamente (incluindo maiúsculas/minúsculas) ao nome da função definido no controlador Aruba. Verifique os atributos de saída do ClearPass Access Tracker para confirmar que o VSA está sendo enviado.

Erros de Timeout do RADIUS

Sintoma: A autenticação falha intermitentemente, especialmente sob carga. O Access Tracker mostra erros de timeout.

Resolução: Aumente o timeout do servidor RADIUS no controlador Aruba para 10 segundos. Verifique se as portas UDP 1812 e 1813 estão abertas e não sujeitas a limitação de taxa no firewall entre o ClearPass e a infraestrutura de nuvem da Purple.

ROI e Impacto nos Negócios

A implantação desta arquitetura integrada oferece retornos mensuráveis em funções de TI, segurança e comerciais. Do ponto de vista de segurança e conformidade, centralizar todos os eventos de autenticação no ClearPass fornece uma trilha de auditoria unificada que simplifica os relatórios de conformidade PCI DSS e GDPR. A segmentação dinâmica de VLAN elimina o risco de tráfego de convidados atravessar a infraestrutura corporativa, reduzindo diretamente a superfície de ataque.

Do ponto de vista comercial, a plataforma Guest WiFi da Purple transforma a rede de convidados de um centro de custo em um ativo de dados primários. Cada sessão de convidado autenticada gera dados de marketing opt-in — endereços de e-mail, frequência de visitas, tempo de permanência e tipo de dispositivo — que alimentam diretamente as plataformas de CRM e automação de marketing. Locais que implementam a Purple juntamente com a infraestrutura Aruba existente relatam consistentemente melhorias mensuráveis no crescimento da lista de e-mails, taxas de visitas repetidas e conversão de campanhas.

A integração também elimina a necessidade de substituir licenças ClearPass existentes ou hardware Aruba, tornando-a uma adição de baixo risco e alto retorno a um investimento em infraestrutura existente. Para organizações que gerenciam vários locais — uma rede de varejo, um grupo hoteleiro ou um campus universitário — o portal de gerenciamento centralizado da Purple oferece análises entre locais que o ClearPass sozinho não consegue fornecer.

Para ambientes onde a compreensão do comportamento físico do visitante é tão importante quanto a segurança da rede — como grandes áreas de varejo ou centros de transporte — as análises da Purple se integram naturalmente com dados de Indoor Positioning System para fornecer inteligência espacial juntamente com métricas de conectividade.

Termos-Chave e Definições

RADIUS Proxy

A configuration where a RADIUS server (ClearPass) forwards authentication requests to another RADIUS server (Purple) based on specific matching criteria, such as the SSID name or NAS-Identifier.

Used when an organisation wants to maintain a single NAC solution internally while utilising a third-party cloud service for guest authentication. The proxy preserves the central audit log in ClearPass while delegating the authentication decision to Purple.

Change of Authorization (CoA)

A RADIUS extension defined in RFC 5176 that allows a RADIUS server to dynamically modify the session authorisation attributes of an active client connection without requiring the client to disconnect.

Critical for captive portal deployments. CoA allows Purple to signal the Aruba controller to transition a user from the pre-authentication logon role to the post-authentication guest role the moment the user completes the portal form.

Walled Garden

A pre-authentication access control list on the Aruba controller that permits unauthenticated devices to reach specific IP addresses and domains required for the captive portal to function.

If the device cannot reach the portal URL, social login provider endpoints, or OS-level captive portal detection URLs (Apple CNA, Microsoft NCSI), the portal will fail to load. This is the most common source of captive portal deployment failures.

Vendor-Specific Attribute (VSA)

Custom RADIUS attributes defined by network equipment vendors (Vendor ID 14823 for Aruba) to extend the standard RADIUS protocol with proprietary instructions.

The Aruba-User-Role VSA (Attribute 1) is the primary mechanism by which ClearPass instructs the Aruba controller which role to assign to an authenticated user. The value must exactly match a role defined on the controller.

Dynamic VLAN Assignment

The process of placing a user or device into a specific VLAN based on their authenticated identity or assigned role, rather than the physical port or SSID they connected to.

Enables venue operators to broadcast a single guest SSID while securely segmenting standard guests, VIP guests, IoT devices, and contractors onto separate, isolated network segments — a requirement for PCI DSS compliance.

Enforcement Profile

A ClearPass configuration object that defines the specific RADIUS attributes and values to return to the network device when a device successfully matches an authentication service.

This is where the business logic of 'if guest, then assign guest role' is translated into specific RADIUS VSAs sent to the Aruba controller. A misconfigured Enforcement Profile is a common cause of incorrect VLAN assignment.

Captive Network Assistant (CNA)

The mini-browser built into iOS, macOS, Android, and Windows that automatically detects a captive portal by making HTTP requests to known endpoints and prompts the user to authenticate.

Understanding CNA behaviour is essential for troubleshooting portal display issues on specific device types. The CNA endpoints (captive.apple.com, www.msftconnecttest.com) must be in the walled garden.

Access Tracker

The real-time diagnostic tool within ClearPass Policy Manager that logs every RADIUS authentication and accounting event, including the request attributes, matched service, applied enforcement profile, and result.

The first diagnostic tool to consult when troubleshooting authentication failures or incorrect role assignments. It provides a complete record of what ClearPass received, what decision it made, and what it returned to the network device.

RADIUS-as-a-Service (RaaS)

A cloud-delivered RADIUS authentication service where the RADIUS server infrastructure is managed and hosted by a third-party provider rather than on-premises.

Purple's RADIUS-as-a-Service eliminates the need for venues to deploy and manage their own RADIUS infrastructure for guest authentication, while integrating with existing on-premises NAC solutions like ClearPass via the proxy architecture described in this guide.

Estudos de Caso

A 500-room hotel group with Aruba controllers and ClearPass deployed centrally needs to provide secure 802.1X WiFi for staff, a branded captive portal for guests, and isolated connectivity for IoT devices (smart TVs, thermostats, door locks). How should they architect the authentication flow?

Deploy three SSIDs: Hotel_Corp (802.1X, WPA2-Enterprise), Hotel_Guest (open SSID with captive portal redirect), and Hotel_IoT (open SSID with MAC-based authentication). All three SSIDs point to ClearPass as the RADIUS server. In ClearPass, create three Services: Service 1 matches Hotel_Corp and authenticates against Active Directory via PEAP-MSCHAPv2, returning ROLE_CORP (VLAN 10, full internal access). Service 2 matches Hotel_Guest and uses a RADIUS Routing Policy to proxy requests to Purple's RADIUS servers; the Enforcement Profile returns Aruba-User-Role = guest-authenticated (VLAN 20, internet only, 10 Mbps). Service 3 matches Hotel_IoT and uses ClearPass Device Profiling to classify devices by OUI; the Enforcement Profile returns ROLE_IOT (VLAN 30, local only, no internet). The walled garden on the Aruba controller includes Purple's portal domains, Facebook, Google, and Apple's CNA endpoint.

Notas de Implementação: This architecture correctly separates the three authentication paths while maintaining ClearPass as the single policy decision point. The key design decision is using RADIUS proxy for guest traffic rather than configuring the Aruba controller to talk directly to Purple — this preserves the unified audit trail in ClearPass and allows the organisation to apply additional ClearPass policies (e.g., time-of-day restrictions) to guest sessions in the future without changing the Aruba configuration.

A retail chain is rolling out Purple across 120 stores, all running Aruba Instant APs. Guest authentication latency is high and portal drop-offs are occurring. Preliminary investigation shows the RADIUS timeout is set to the default 3 seconds.

Increase the RADIUS server timeout on all Aruba Instant APs to 10 seconds and configure 3 retries. Deploy both of Purple's RADIUS server IPs as primary and secondary servers in the Instant AP configuration to provide failover. Review the walled garden configuration to ensure all social login provider domains are included, as incomplete walled gardens cause the portal page to load slowly or partially, increasing perceived latency. Enable RADIUS Accounting on the Instant APs to ensure Purple receives session data. Finally, review the Purple portal design to minimise the number of external resource calls (fonts, images) that must load before the authentication form is displayed.

Notas de Implementação: The 3-second default timeout is a common source of intermittent failures in proxy architectures. The request travels from the AP to Purple's cloud and back, and on a congested or high-latency WAN link this can easily exceed 3 seconds. Increasing the timeout is the immediate fix, but the root cause investigation should also examine whether the ClearPass-to-Purple network path is optimal and whether Purple's RADIUS servers are geographically close to the ClearPass deployment.

Análise de Cenário

Q1. Your deployment requires guests to authenticate via Facebook login. The Purple portal loads, but when users tap the Facebook button, the page times out and returns an error. Corporate 802.1X authentication is working correctly. What is the most likely cause and how do you resolve it?

💡 Dica:Consider what the device is permitted to access before it has completed authentication. The portal page loaded, so the portal domain is in the walled garden — but what about the resources the portal needs to call?

Mostrar Abordagem Recomendada

The walled garden configuration on the Aruba controller is missing the required Facebook authentication domains and CDN endpoints (*.facebook.com, *.fbcdn.net, *.facebook.net). Pre-authentication traffic to Facebook's OAuth servers is being blocked by the controller's default-deny policy. Resolution: add the missing Facebook domains to the walled garden. Also verify that Google's domains are included if Google login is also offered. Use a browser developer tools network trace from a test device to identify any additional blocked domains.

Q2. You want to use a single SSID ('VenueWiFi') for both corporate employees (802.1X) and guests (captive portal via Purple). How do you configure ClearPass to correctly differentiate and route the two authentication types?

💡 Dica:ClearPass Services are matched in priority order. Consider how 802.1X and MAC-Auth requests differ at the RADIUS protocol level, and how Service Rules can exploit this difference.

Mostrar Abordagem Recomendada

Create two ClearPass Services, both matching the SSID 'VenueWiFi'. Service 1 (higher priority) uses a Service Rule matching on the RADIUS attribute 'Service-Type EQUALS Framed-User' or the presence of EAP attributes, identifying 802.1X requests. It authenticates against Active Directory and returns ROLE_CORP. Service 2 (lower priority) matches MAC-Auth requests (Service-Type EQUALS Call-Check or Authenticate-Only). It uses a RADIUS Routing Policy to proxy the request to Purple. The Enforcement Profile for Service 2 returns the pre-auth logon role, triggering the captive portal. When Purple sends the post-authentication RADIUS request, it is matched by Service 2 and returns the guest-authenticated role.

Q3. Guest authentication is successful — the Purple dashboard shows the user as active and the ClearPass Access Tracker shows an Access-Accept. However, the user cannot access the internet and the Aruba controller shows the user is still in the 'logon' role. What are the two most likely causes?

💡 Dica:The authentication succeeded and ClearPass sent an Accept. The problem is therefore in what ClearPass sent back, or in how the Aruba controller interpreted it.

Mostrar Abordagem Recomendada

Cause 1: The ClearPass Enforcement Profile is not configured to return the Aruba-User-Role VSA, or is returning an empty value. Check the Enforcement Profile and verify the VSA is explicitly set. Cause 2: The Aruba-User-Role value returned by ClearPass does not exactly match (including capitalisation) a role defined on the Aruba controller. For example, ClearPass returns 'guest-authenticated' but the controller has 'Guest-Authenticated' defined. Resolution: Open the ClearPass Access Tracker entry, expand the Output Attributes section, and verify the Aruba-User-Role value. Then cross-reference this value against the role names defined on the Aruba controller under Configuration > Roles.

Q4. A stadium venue wants to offer tiered guest WiFi: a free tier with 5 Mbps and mandatory portal authentication, and a premium tier with 50 Mbps for ticket holders who have pre-registered. Both tiers use the same SSID. How would you architect this using ClearPass and Purple?

💡 Dica:Think about how ClearPass can differentiate between the two user types post-authentication, and how Purple can pass identity information to ClearPass to enable this differentiation.

Mostrar Abordagem Recomendada

Configure Purple to pass a user attribute (e.g., a custom RADIUS attribute or the Class attribute) indicating whether the user is a registered ticket holder. In ClearPass, create a Role Mapping Policy that checks this attribute: if present and valid, assign ROLE_VIP; otherwise assign ROLE_GUEST. Create two Enforcement Profiles: ROLE_GUEST returns Aruba-User-Role = guest-standard (VLAN 20, 5 Mbps bandwidth contract); ROLE_VIP returns Aruba-User-Role = guest-premium (VLAN 40, 50 Mbps). On the Aruba controller, define both roles with the appropriate VLAN and bandwidth contracts. This approach uses a single SSID and single Purple portal while delivering differentiated service levels based on user identity.

Sobre nós
Carreiras
Relatório B Corp
Planos
Recursos de WiFi para Visitantes
Preços de WiFi para Visitantes
Serviços Profissionais
Agendar uma demonstração
Passwordless WiFi
RADIUS-as-a-Service
WPA-Enterprise
Captive Portal Software
Multi-Tenant WiFi
Staff WiFi
Solutions
WiFi for Marketing Teams
WiFi for IT & Network Teams
WiFi for Small Business
WiFi Marketing & Analytics
Passwordless Onboarding
Industries
WiFi for Hospitality
WiFi for Hotels
WiFi for Retail
WiFi for Healthcare
WiFi for Higher Education
WiFi for Stadiums
WiFi for Restaurants
WiFi for Corporate Offices
Browse all industries
Políticas
Jurídico
Política de privacidade
Termos de uso
Meus dados
Política de cookies
SLA Padrão
Resources
WiFi blog
WiFi guides
WiFi glossary
Case studies
All resources
Calculadora de ROI
Calculadora de Preços
Access Point Calculator
Guest WiFi Feature Checklist
WiFi Tools
Suporte Purple
WhatsApp
© 2026 Purple. Todos os direitos reservados.
Gerenciar preferências de cookies