Pular para o conteúdo principal

Integrando o WeChat WiFi Login: Capturando engajamento via Captive Portals sociais

Este guia detalha como integrar a autenticação do WeChat WiFi em captive portals corporativos, cobrindo a arquitetura OAuth 2.0, integração RADIUS e implantação passo a passo nos hardwares Cisco Meraki, HPE Aruba e Juniper Mist. Ele oferece aos gerentes de TI e arquitetos de rede uma estrutura prática para capturar dados primários de 1,3 bilhão de usuários do WeChat, enquanto impulsiona o engajamento por meio de seguidores em Contas Oficiais e redirecionamentos pós-login.

📖 8 min de leitura📝 1,875 palavras🔧 2 exemplos práticos4 questões práticas📚 10 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje vamos nos aprofundar em uma integração crítica para locais que buscam capturar o engajamento de um grupo demográfico massivo: A integração do login de WiFi do WeChat via Captive Portals sociais. Se você é um gerente de TI, arquiteto de rede ou diretor de operações em um hotel, rede de varejo ou local público, você conhece o desafio. Você quer oferecer um WiFi para convidados sem fricção, mas sua equipe de marketing exige dados primários. Formulários de registro manual causam desistências, e logins sociais genéricos nem sempre atendem aos visitantes internacionais, especialmente aqueles da China, onde o WeChat é o ecossistema digital dominante. É aí que entra a autenticação de WiFi do WeChat. Ela transforma um Captive Portal padrão em uma ferramenta estratégica de captura de dados. Hoje, vamos detalhar a arquitetura técnica, as etapas de implementação e as armadilhas comuns que você precisa evitar. Vamos começar com a arquitetura. Como isso realmente funciona? A autenticação de WiFi do WeChat substitui o preenchimento manual de formulários tradicional por um fluxo OAuth 2.0 integrado diretamente à experiência do Captive Portal. Quando um convidado se conecta à sua rede WiFi, seu ponto de acesso ou controlador de LAN sem fio intercepta o tráfego e redireciona o usuário para um Captive Portal hospedado na Purple Cloud Platform. Em vez de digitar um endereço de e-mail, o usuário seleciona a opção de login do WeChat. Isso dispara uma chamada de API para a plataforma aberta do WeChat. O usuário autoriza a conexão dentro do aplicativo WeChat, e o WeChat retorna um token de acesso e dados de perfil do usuário - como OpenID, unionid, apelido e avatar - para a plataforma Purple. A Purple então sinaliza para o seu servidor RADIUS para enviar uma mensagem Access-Accept para o hardware da sua rede, concedendo acesso à internet e aplicando quaisquer políticas configuradas, como limites de largura de banda ou atribuição de VLAN. É um handshake seguro e contínuo entre cinco sistemas distintos, tudo acontecendo em menos de três segundos sob a perspectiva do usuário. Agora, o que você precisa para fazer isso acontecer? Existem quatro componentes principais. Primeiro, a Conta Oficial do WeChat. Você deve possuir uma Conta de Serviço do WeChat verificada, conhecida em chinês como Fuwuhao. As contas de assinatura não possuem as permissões de API necessárias para a integração OAuth. Este é um requisito obrigatório. A Conta de Serviço fornece o AppID e o AppSecret necessários para a comunicação da API. Segundo, o próprio Captive Portal. Esta é a página inicial personalizada (splash page) que intercepta a sessão e apresenta o botão de login do WeChat. Ela precisa ser responsiva para dispositivos móveis e capaz de lidar com o URI de redirecionamento do OAuth corretamente. Terceiro, Gestão de Identidade e Acesso. A plataforma Purple atua como intermediária aqui, gerenciando a troca de tokens OAuth, mapeando os dados de perfil do WeChat para o seu CRM e lidando com a comunicação RADIUS. Esta é a camada de inteligência que conecta o ecossistema do WeChat à sua infraestrutura de rede. E quarto, o seu Hardware de Rede. Access points corporativos de fabricantes como Cisco Meraki, HPE Aruba ou Juniper Mist, configurados para redirecionar o tráfego não autenticado para o Captive Portal externo e aplicar atributos de autorização RADIUS. Então, como implementamos isso? É um processo de três etapas. Etapa Um: Configurar a Conta de Desenvolvedor do WeChat. Você precisará ativar o recurso de autorização de página web OAuth 2.0 na Plataforma de Conta Oficial do WeChat. Registre o domínio do seu Captive Portal como o domínio de retorno (callback) autorizado. Isso garante que o WeChat retorne apenas códigos de autorização para sua infraestrutura confiável. Em seguida, recupere seu AppID e AppSecret. Etapa Dois: Configurar a Plataforma Purple. Navegue até a configuração de métodos de autenticação, ative o login social do WeChat e insira seu AppID e AppSecret. Desenhe sua splash page para destacar o login do WeChat. E, fundamentalmente, configure seus redirecionamentos pós-autenticação. Não envie os usuários apenas para uma página genérica de sucesso. Redirecione-os para o perfil da sua Conta Oficial do WeChat para incentivar novos seguidores, ou para uma landing page promocional direcionada. Etapa Três: Configuração da Infraestrutura de Rede. No seu controlador wireless, configure o SSID de visitantes para autenticação externa do Captive Portal. Insira a URL do Captive Portal da Purple. E aqui está a etapa de configuração mais importante: configure as entradas de walled garden, ou lista de permissões. Você deve incluir na lista de permissões os domínios da API do WeChat e os intervalos de IP para que o dispositivo do usuário possa se comunicar com o WeChat antes de estar totalmente autenticado na rede. Pule esta etapa e todo o fluxo falhará. Agora vamos falar sobre as melhores práticas e solução de problemas. O que costuma dar errado e como você pode evitar? Acabei de mencionar o walled garden. Um walled garden configurado incorretamente é a causa número um de falhas de login do WeChat em implantações de produção. Se o dispositivo não conseguir alcançar os servidores do WeChat antes da autenticação, o fluxo OAuth não poderá ser iniciado. Certifique-se de que todos os domínios necessários do WeChat estejam acessíveis antes da autenticação. Teste isso detalhadamente antes de entrar no ar. Outro problema comum é a Incompatibilidade de Redirecionamento OAuth (OAuth Redirect Mismatch). Se a URL de retorno registrada no WeChat não corresponder exatamente à URL do seu Captive Portal, o WeChat bloqueará a autorização. Protocolos e subdomínios devem coincidir perfeitamente. HTTPS versus HTTP, com ou sem barra final - esses detalhes importam. Além disso, fique atento à interferência do Assistente do Captive Portal. Os sistemas operacionais móveis usam esses mini-navegadores para lidar com redes cativas, mas eles geralmente não têm todas as funcionalidades e podem interferir na chamada do aplicativo WeChat. Pode ser necessário implementar um script de detecção JavaScript para forçar o login no navegador nativo do sistema. Do lado da estratégia, não desperdice o engajamento pós-login. Direcione os usuários para seguir sua Conta Oficial, acessar um mapa interno ou visualizar um cardápio digital. Mantenha-os engajados dentro do ecossistema do WeChat. E sobre a minimização de dados: solicite apenas os dados de perfil do WeChat necessários para seus objetivos de marketing. Solicitar permissões em excesso aumenta as taxas de abandono e complica a conformidade com a privacidade. Falando em conformidade, a coleta de dados via WeChat deve estar em conformidade com as leis de privacidade regionais, incluindo o GDPR na Europa e a Lei de Proteção de Informações Pessoais na China. Garanta que os termos de serviço do seu Captive Portal articulem claramente quais dados são coletados, como são usados e com quem são compartilhados. Implemente mecanismos de consentimento explícito antes de iniciar o fluxo OAuth. Agora, uma sessão rápida de perguntas e respostas sobre as dúvidas que ouvimos com mais frequência. Pergunta: Posso usar uma conta de assinatura do WeChat (Subscription Account)? Não. Você precisa de uma Service Account verificada. Ponto final. Pergunta: Preciso liberar os domínios do WeChat na lista de permissões (walled garden) em cada ponto de acesso? Sim. O walled garden deve ser configurado no nível do SSID no controlador sem fio. Pergunta: Por quanto tempo o WeChat mantém o token de acesso válido? Os tokens de acesso do WeChat expiram após duas horas. Certifique-se de que sua plataforma esteja configurada para atualizá-los automaticamente. Pergunta: Quais dados eu realmente obtenho do WeChat? Você recebe o OpenID do usuário, o unionid deles se tiverem autorizado vários aplicativos, o apelido, a URL da foto de perfil e a cidade e o país registrados. Você não recebe o número de telefone ou o endereço de e-mail diretamente do WeChat. Então, para resumir, aqui estão as cinco principais conclusões do briefing de hoje. Um: A autenticação de WiFi do WeChat usa OAuth 2.0 para substituir o preenchimento manual de formulários por um login com um único toque, aumentando as taxas de conclusão de 20 a 30 por cento. Dois: Uma Service Account verificada do WeChat é obrigatória. Contas de assinatura não funcionarão. Três: A configuração do walled garden em seus pontos de acesso é a etapa mais crítica e mais frequentemente esquecida. Quatro: Redirecionamentos pós-autenticação para sua conta oficial convertem visitantes transitórios em seguidores digitais de longo prazo. E cinco: Certifique-se de que suas divulgações de consentimento e privacidade cubram os requisitos do GDPR e da PIPL antes de entrar em operação. Esse é o briefing técnico sobre a integração do login de WiFi do WeChat. Para saber mais sobre estratégia de WiFi para convidados, análises e conformidade, visite purple dot ai. Obrigado por ouvir.

header_image.png

Resumo Executivo

A integração do login de WiFi do WeChat transforma um Captive Portal padrão em um mecanismo estratégico de dados primários para visitantes chineses e para o ecossistema mais amplo do WeChat. Para gerentes de TI e arquitetos de rede, a implementação do login do WeChat via OAuth 2.0 e RADIUS exige o equilíbrio entre o acesso contínuo de visitantes e a coleta de dados segura e em conformidade. Este guia detalha a arquitetura técnica, as etapas de implementação e as considerações de segurança para implantar a autenticação de WiFi do WeChat em hardware de rede corporativa, incluindo Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist. Ele mostra como a plataforma Guest WiFi da Purple faz a mediação do fluxo OAuth, mapeia os dados de perfil para o seu CRM e impulsiona o engajamento por meio de redirecionamentos pós-login para sua Conta Oficial do WeChat.

O WeChat tem mais de 1,3 bilhão de usuários ativos mensais, e os dados da Organização Mundial do Turismo indicam que os viajantes chineses deveriam gastar US$ 255 bilhões internacionalmente em 2023. Para hotéis, varejo de luxo, aeroportos e centros de convenções, oferecer o login de WiFi do WeChat é um canal direto para esse público demográfico. A Purple opera em mais de 80.000 locais ativos e registrou 440 milhões de logins em 2024, oferecendo-nos uma visão direta do que funciona e do que falha em implantações de produção.


Detalhamento Técnico

Como Funciona a Autenticação de WiFi do WeChat

A autenticação de WiFi do WeChat substitui a entrada manual de formulários por um fluxo OAuth 2.0 integrado diretamente à experiência do Captive Portal. A sequência envolve cinco componentes se comunicando em uma ordem definida:

  1. O dispositivo do visitante se conecta ao SSID do local.
  2. O ponto de acesso (AP) intercepta o tráfego HTTP não autenticado e redireciona o dispositivo para um Captive Portal hospedado pela Purple.
  3. O usuário seleciona a opção de login do WeChat na página do portal.
  4. O portal inicia uma solicitação de autorização OAuth 2.0 para a API da plataforma aberta do WeChat, transmitindo o AppID do local e a URI de redirecionamento.
  5. O cliente do WeChat é aberto no dispositivo e solicita que o usuário autorize a conexão.
  6. O WeChat retorna um código de autorização para a URI de redirecionamento.
  7. A plataforma Purple troca o código de autorização por um token de acesso e recupera os dados de perfil do usuário: OpenID, unionid, apelido, avatar e localização registrada.
  8. A Purple sinaliza ao servidor RADIUS para enviar uma mensagem Access-Accept ao ponto de acesso.
  9. O ponto de acesso concede acesso à internet e aplica as políticas configuradas (atribuição de VLAN, limites de largura de banda, expiração de sessão).
  10. O portal redireciona o usuário para a Conta Oficial do WeChat do local ou para uma página de destino personalizada. authentication_flow_diagram.png

Requisitos do Tipo de Conta

Este é o ponto de falha único mais comum em implantações de WeChat WiFi. Você deve usar uma Conta de Serviço (服务号) do WeChat verificada. As Contas de Assinatura não expõem as APIs de autorização web OAuth 2.0 necessárias para a integração do Captive Portal. A tabela abaixo resume as principais diferenças:

Recurso Conta de Serviço Conta de Assinatura
Login WiFi OAuth 2.0 Sim Não
Nível de acesso à API Completo Restrito
Mensagens push por mês 4 30
Posicionamento na lista de chat Sim (como um contato) Não (agrupada na pasta de assinaturas)
Integração com WeChat Pay Sim Não
Verificação necessária Sim Sim

Obter uma Conta de Serviço verificada exige uma licença comercial chinesa ou um processo de solicitação especial no exterior através da Tencent, o que acarreta uma taxa de verificação anual de US$ 99 e um período de análise de duas a quatro semanas.

O Walled Garden: A Configuração de Rede Mais Crítica

O walled garden (também conhecido como lista de permissões de pré-autenticação) define os endereços IP e domínios que um dispositivo pode acessar antes de concluir a autenticação do Captive Portal. Se os domínios da API do WeChat não estiverem no walled garden, o dispositivo não poderá iniciar o handshake OAuth, e o login falhará silenciosamente em segundo plano.

No mínimo, os seguintes domínios devem ser incluídos na lista de permissões:

  • *.weixin.qq.com
  • *.wechat.com
  • *.wx.qq.com
  • res.wx.qq.com
  • mp.weixin.qq.com
  • As faixas de IP da CDN do WeChat (consulte a documentação de faixas de IP publicada pela Tencent, pois elas mudam periodicamente)

No Cisco Meraki, configure isso em Wireless > Access Control > Walled Garden. No HPE Aruba, use a lista de permissões do Captive Portal Profile. No Juniper Mist, configure a lista de domínios permitidos do Guest Portal.

Integração RADIUS e Aplicação de Políticas

Nesta arquitetura, o Purple opera como um proxy RADIUS. Após uma troca de OAuth do WeChat bem-sucedida, o Purple envia uma mensagem RADIUS Access-Accept para o controlador sem fio do local. A mensagem Access-Accept pode conter atributos RADIUS padrão para aplicar políticas por usuário:

  • Tunnel-Type e Tunnel-Private-Group-ID para atribuição de VLAN (isolando o tráfego de convidados da rede corporativa, em conformidade com as melhores práticas de segmentação IEEE 802.1X)
  • Session-Timeout para desconexão automática após um período definido
  • WISPr-Bandwidth-Max-Up e WISPr-Bandwidth-Max-Down para limitação de largura de banda

A arquitetura é independente de hardware. O Purple se integra com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet sem alterações de firmware ou servidores locais.

venue_deployment_overview.png


Guia de Implementação

Passo 1: Configurar a Conta de Desenvolvedor WeChat

Faça login na WeChat Official Accounts Platform (mp.weixin.qq.com). Navegue até Settings and Development > Security Centre > Web Authorisation Domains. Ative a autorização web OAuth 2.0 e adicione o domínio do seu Captive Portal como um domínio de callback autorizado (por exemplo, wifi.yourvenue.com). O WeChat apenas retornará códigos de autorização para domínios registrados aqui - uma incompatibilidade causa falhas silenciosas.

Obtenha o seu AppID e AppSecret no painel Settings and Development > Basic Configuration. Armazene o AppSecret de forma segura; trate-o como uma chave privada.

Passo 2: Configurar o Purple

No portal Purple, navegue até Authentication > Social Login e ative o WeChat. Insira o AppID e o AppSecret. Desenhe a splash page do Captive Portal usando o editor de arrastar e soltar do Purple. Posicione o botão de login do WeChat como a chamada para ação (CTA) principal acima da dobra.

Configure o redirecionamento pós-autenticação. As opções incluem:

  • A página de acompanhamento da WeChat Official Account do estabelecimento (recomendado para engajamento)
  • Uma landing page promocional hospedada em um WeChat Mini Program
  • Uma página de pesquisa usando as ferramentas de WiFi Analytics do Purple
  • Uma página de inscrição em programa de fidelidade

Ative o cache de endereço MAC em Authentication > Return Visitor Settings. Defina a duração do cache para corresponder à frequência de visita típica (7 dias é o recomendado para varejo, 30 dias para hotéis). Os visitantes recorrentes conectam-se automaticamente sem ver o portal novamente, enquanto a visita ainda é registrada no painel de analytics.

Passo 3: Configurar o Hardware de Rede

No seu controlador sem fio, configure o SSID de visitantes para usar um Captive Portal externo. Insira a URL do portal Purple como a URL da splash page. Adicione os domínios do WeChat à walled garden. Defina o endereço IP do servidor RADIUS e o segredo compartilhado fornecidos pelo Purple.

Antes de entrar em operação, teste o fluxo completo com um dispositivo móvel. Especificamente:

  1. Conecte ao SSID de visitantes.
  2. Confirme se o Captive Portal carrega no mini-navegador do Captive Portal Assistant (CPA).
  3. Toque no botão de login do WeChat e confirme se o cliente WeChat abre.
  4. Autorize a conexão e confirme se o acesso à internet foi concedido.
  5. Confirme se o redirecionamento pós-login funciona corretamente.

Melhores Práticas

Otimize a walled garden. Uma walled garden mal configurada é a principal causa de falhas de login do WeChat em produção. Teste antes do lançamento e teste novamente após qualquer atualização de firmware de rede, pois alguns controladores redefinem as entradas da lista de permissões durante as atualizações.

Estimule o engajamento pós login. O momento após a autenticação é o ponto de maior atenção na experiência de WiFi de convidados. Redirecione os usuários para a página oficial de acompanhamento da sua conta. Os visitantes que seguem sua conta permanecem acessíveis via notificações push muito depois de saírem do local.

Implemente o cache de MAC para visitantes recorrentes. Exigir autenticação repetida a cada visita prejudica a experiência. O cache de MAC remove o atrito para os visitantes que retornam, enquanto ainda registra a visita para fins de análise. Consulte o WiFi Analytics da Purple para relatórios de tempo de permanência e visitas recorrentes.

Aplique a minimização de dados. Solicite apenas os campos do perfil do WeChat que seu CRM realmente utiliza. Solicitar permissões desnecessárias aumenta o abandono da autorização e adiciona complexidade à conformidade com a GDPR. Para a maioria dos locais, o OpenID, o apelido e o avatar são suficientes para a personalização.

Isole o tráfego de convidados via VLANs. Atribua os convidados autenticados pelo WeChat a uma VLAN dedicada, isolada das redes corporativas ou de PDV. Isso atende aos requisitos de isolamento de rede PCI-DSS e limita o raio de alcance de qualquer incidente de segurança do lado do convidado. Para uma abordagem completa da arquitetura de segurança WiFi, consulte nosso guia de segurança WiFi corporativo .

Cumpra com a GDPR e a PIPL. Exiba um aviso de privacidade claro na splash page antes que o usuário inicie o fluxo OAuth do WeChat. O aviso deve identificar o controlador de dados, listar as categorias de dados coletados do WeChat, indicar a base legal para o processamento e linkar para a política de privacidade completa. Para orientações detalhadas, consulte nosso guia de conformidade com a GDPR para WiFi .

-

Solução de Problemas e Mitigação de Riscos

Incompatibilidade de Redirecionamento OAuth

Se a URL de retorno registrada no console do desenvolvedor do WeChat não corresponder exatamente à URL que a Purple usa para o redirecionamento, o WeChat retornará um código de erro e bloqueará a autorização. Verifique se há incompatibilidades de protocolo (HTTP vs HTTPS), barras finais e diferenças de subdomínio. O domínio registrado deve ser uma correspondência exata de string.

Interferência do Assistente de Captive Portal (CPA)

Os sistemas operacionais móveis usam mininavegadores CPA para detectar e gerenciar redes de Captive Portal. Esses mininavegadores geralmente não têm a capacidade de abrir aplicativos nativos, o que interrompe a transferência do aplicativo WeChat no fluxo OAuth. As mitigações incluem:

  • Implementar um redirecionamento JavaScript que detecte o ambiente CPA e abra o navegador completo do sistema antes de iniciar o fluxo OAuth.
  • Exibir instruções claras na splash page orientando os usuários a abrir a página em um navegador completo caso o botão do WeChat não responda.

Expiração de Token e Sessões Obsoletas

Os tokens de acesso do WeChat expiram após duas horas. Se a sua plataforma não atualizar o token, o registro de CRM do usuário para de ser atualizado após a sessão inicial. Configure as definições de atualização de token do Purple para manter um token ativo durante a visita do visitante.

Risco Geopolítico e Regulatório

O WeChat está sujeito à regulamentação do governo chinês e à política da plataforma Tencent. O acesso à API pode ser suspenso ou modificado sem aviso prévio. Para mitigar esse risco, certifique-se de que seu Captive Portal suporte múltiplos métodos de autenticação (e-mail, SMS, outros logins sociais) para que uma interrupção da API do WeChat não deixe toda a sua rede de WiFi para convidados offline. Os portais multicanal do Purple oferecem suporte nativo a essa arquitetura de contingência.

-

ROI e Impacto nos Negócios

A implantação da autenticação WiFi do WeChat proporciona retornos mensuráveis em três dimensões.

Maiores taxas de captura de dados. O login social elimina o atrito do preenchimento de formulários. Os locais que utilizam as opções de login social do Purple relatam taxas de conclusão de autenticação de 20% a 30% superiores às de portais comparáveis que utilizam apenas e-mail (dados internos do Purple, 2024). Em um local que processa 500 conexões de WiFi para convidados por dia, um aumento de 25% significa 125 perfis verificados adicionais capturados diariamente.

Crescimento de seguidores da Conta Oficial. Redirecionar usuários autenticados para a página de acompanhamento da Conta Oficial converte o fluxo transitório de pessoas em um público digital acessível. Um hotel com 200 visitantes autenticados via WeChat por dia que atinge uma taxa de adesão de 40% ganha 80 novos seguidores na Conta Oficial diariamente - seguidores que podem receber notificações push direcionadas sobre ofertas de retorno, atualizações de programas de fidelidade e promoções sazonais.

Visibilidade operacional. A plataforma WiFi Analytics do Purple correlaciona sessões autenticadas pelo WeChat com tempo de permanência, frequência de visitas e dados de movimentação no nível da zona. Isso fornece aos diretores de operações do local os dados necessários para otimizar a equipe, o layout e o momento das promoções. Para estabelecimentos de hospitalidade , esses dados se integram diretamente aos sistemas de PMS para enriquecer os perfis dos hóspedes.

Para ambientes de varejo , a autenticação do WeChat combinada com a plataforma de análise do Purple replica a riqueza de dados do nível de e-commerce em um ambiente de loja física - uma capacidade que se torna cada vez mais valiosa à medida que o fim dos cookies de terceiros reduz a eficácia do retargeting digital.

-

Para orientações relacionadas, consulte nosso guia de conformidade com o GDPR para WiFi e nosso guia de segurança de WiFi corporativo . Para saber como a Purple é implantada em setores específicos, consulte nossas páginas de hospitalidade , varejo , saúde e transporte .

Definições principais

OAuth 2.0

Um protocolo de autorização padrão do setor que permite a um usuário conceder a um aplicativo de terceiros acesso aos dados de sua conta em outro serviço sem compartilhar sua senha. Na autenticação do WeChat WiFi, o Captive Portal é o aplicativo de terceiros e o WeChat é o provedor de identidade.

O mecanismo subjacente para todos os logins sociais de WiFi. As equipes de TI o encontram ao configurar o AppID, AppSecret e a URI de redirecionamento no console do desenvolvedor do WeChat e na plataforma Purple.

Captive Portal

Uma página web que intercepta o tráfego de rede de um dispositivo e exige que o usuário autorize ou aceite os termos antes de conceder acesso à internet. Funciona redirecionando todas as solicitações HTTP para a URL do portal até que a autenticação seja concluída.

O componente voltado para o usuário do sistema de login do WeChat WiFi. A Purple hospeda e gerencia o Captive Portal como uma sobreposição em nuvem sobre o hardware existente do local.

Walled garden

Uma lista de permissões (whitelist) pré-autenticação de endereços IP e domínios que um dispositivo pode acessar antes de concluir o login do Captive Portal. Necessário para permitir que o dispositivo se comunique com os servidores de autenticação do WeChat durante o fluxo de OAuth.

O elemento mais frequentemente configurado incorretamente em implantações de WeChat WiFi. Deve ser configurado no nível do SSID no controlador sem fio.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece autenticação, autorização e contabilização centralizadas para acesso à rede. Após uma troca de OAuth do WeChat bem-sucedida, a Purple envia uma mensagem de RADIUS Access-Accept para o ponto de acesso para conceder acesso à internet.

O protocolo que conecta a plataforma de identidade Purple ao hardware de rede do local. As equipes de TI configuram os endereços IP do servidor RADIUS e os segredos compartilhados no controlador sem fio.

Conta de Serviço do WeChat (服务号)

Uma categoria de Conta Oficial do WeChat projetada para empresas, oferecendo acesso total à API, incluindo autorização de página web via OAuth 2.0. Aparece como um contato na lista de chat do usuário. Exige registro comercial na China ou verificação no exterior.

O tipo de conta obrigatório para o login de WeChat WiFi. Contas de assinatura não podem ser usadas para esta finalidade.

OpenID

Um identificador exclusivo atribuído pelo WeChat a um usuário específico para uma Conta Oficial específica. Duas Contas Oficiais diferentes receberão OpenIDs diferentes para o mesmo usuário.

A chave primária usada pelo CRM para identificar e rastrear usuários individuais em sessões de WiFi.

Unionid

Um identificador exclusivo atribuído pelo WeChat a um usuário específico em todas as Contas Oficiais e Mini Programas registrados sob a mesma conta de plataforma aberta do WeChat. Permite o reconhecimento do usuário em diferentes produtos.

Relevante para marcas com múltiplos pontos de contato WeChat (por exemplo, uma rede de varejo com um portal WiFi e um Mini Programa de compras) que desejam unificar o perfil do usuário em todas as interações.

Cache de endereço MAC

Um recurso de rede que armazena o identificador exclusivo de hardware de um dispositivo (endereço MAC) após a autenticação inicial, permitindo que a rede conceda acesso automaticamente em conexões subsequentes sem exibir o Captive Portal novamente.

Usado para melhorar a experiência do visitante recorrente. A Purple registra a visita de retorno para fins analíticos, mesmo quando o portal não é exibido.

Captive Portal Assistant (CPA)

O mini-navegador iniciado automaticamente pelo iOS e Android quando detectam uma rede que exige autenticação de Captive Portal. Os CPAs têm funcionalidade limitada e podem não suportar chamadas de aplicativos nativos necessárias para o fluxo de OAuth do WeChat.

As equipes de TI devem testar o fluxo de login do WeChat especificamente no ambiente CPA e implementar a detecção de JavaScript para redirecionar para o navegador completo do sistema, se necessário.

VLAN

Virtual Local Area Network. Um segmento lógico de rede que isola o tráfego de outros segmentos na mesma infraestrutura física. Usado para separar o tráfego de WiFi de convidados das redes corporativas ou de PDV.

Os atributos de RADIUS retornados pela Purple podem atribuir convidados autenticados pelo WeChat a uma VLAN específica, atendendo aos requisitos de segmentação de rede do PCI-DSS.

Exemplos práticos

Uma marca de varejo de luxo em Londres deseja oferecer WiFi de forma integrada para turistas chineses, enquanto aumenta os seguidores em sua Conta Oficial do WeChat. Eles usam atualmente pontos de acesso Cisco Meraki e um portal padrão de captura de e-mail. A equipe de TI tem duas semanas para implantar a solução antes de uma grande campanha de Ano Novo Chinês.

Semana um: Registrar e verificar uma Conta de Serviço do WeChat, se ainda não estiver ativa (permita de duas a quatro semanas para aprovação da Tencent, portanto, esta etapa deve ser iniciada antes - se não, use uma entidade chinesa terceirizada verificada como medida provisória). Configure o console do desenvolvedor do WeChat com o domínio de retorno correspondente à URL do portal Purple. Na plataforma Purple, ative o login social do WeChat, insira o AppID e o AppSecret e projete a splash page com o WeChat como a principal opção de login. Configure o redirecionamento pós-autenticação para a página de acompanhamento da Conta Oficial do WeChat da marca. Semana dois: No painel do Meraki, atualize o SSID de visitantes para apontar para a URL do portal Purple. Adicione todos os domínios de API do WeChat ao walled garden do Meraki em Wireless > Access Control. Defina os detalhes do servidor RADIUS. Teste o fluxo completo de ponta a ponta a partir de um dispositivo iOS e Android. Ative o armazenamento em cache de MAC para reconhecimento de visitantes frequentes por 30 dias. Entre no ar.

Comentário do examinador: Esta abordagem utiliza o hardware Meraki existente sem qualquer alteração de firmware. O item crítico do caminho é a verificação da conta do WeChat - isso deve ser iniciado bem antes do prazo final da campanha. O redirecionamento pós-login para a página de acompanhamento da Conta Oficial é a decisão de configuração de maior valor, pois converte um login único de WiFi em um canal de marketing de longo prazo.

Um estádio com capacidade para 15.000 pessoas está sediando uma série de eventos internacionais com presença significativa de público de língua chinesa. O diretor de TI relata que 35% dos visitantes abandonam o formulário de login do WiFi antes de preenchê-lo. A rede utiliza pontos de acesso HPE Aruba gerenciados via Aruba Central.

Implante o captive portal da Purple com o WeChat como a principal opção de login social, ao lado de alternativas de e-mail e SMS. Configure o perfil do captive portal no Aruba Central para redirecionar para a Purple e adicione os domínios do WeChat à lista de permissões. Implemente um script de detecção de CPA em JavaScript na splash page para forçar o fluxo OAuth no navegador nativo do sistema, ignorando o mini-navegador CPA da Aruba. Configure os atributos RADIUS para atribuir torcedores autenticados a uma VLAN de visitantes dedicada, isolada da rede operacional do estádio. Defina o tempo limite da sessão para quatro horas para cobrir a duração de um evento típico sem exigir nova autenticação. Após a autenticação, redirecione os torcedores para um WeChat Mini Programme que hospeda a programação do evento, resultados ao vivo e um serviço de pedidos de comida.

Comentário do examinador: O script de detecção de CPA é o principal diferencial técnico aqui. Sem ele, a chamada do aplicativo WeChat falha no mini-navegador e os usuários visualizam uma experiência corrompida. O redirecionamento para o Mini Programme maximiza o engajamento pós-autenticação, oferecendo valor imediato e relevante aos torcedores - o que também aumenta a probabilidade de eles seguirem a Conta Oficial do local.

Questões práticas

Q1. O novo login de WeChat WiFi do seu local está falhando. Os convidados tocam no botão do WeChat na splash page, mas a página expira antes que o aplicativo do WeChat abra. O painel do Cisco Meraki mostra que o SSID está online e a URL do portal Purple está configurada corretamente. Qual é a causa mais provável e como corrigi-la?

Dica: Considere qual acesso à rede o dispositivo possui antes de concluir a autenticação.

Ver resposta modelo

O walled garden no SSID Meraki está configurado incorretamente. O dispositivo não consegue alcançar os domínios da API do WeChat antes da autenticação, impedindo que o handshake OAuth seja iniciado. Correção: navegue até Wireless > Controle de Acesso no painel do Meraki, localize a seção Walled Garden e adicione os domínios do WeChat necessários, incluindo *.weixin.qq.com, *.wechat.com e *.wx.qq.com. Teste tentando o fluxo de login novamente a partir de um dispositivo que não tenha se conectado anteriormente ao SSID.

Q2. Um diretor de marketing deseja usar sua conta de assinatura do WeChat (订阅号) existente para habilitar o login no WiFi porque ela permite a publicação diária de artigos para os seguidores. Ele solicita que você configure a integração. Como você responde?

Dica: Revise os níveis de acesso da API para os diferentes tipos de conta do WeChat.

Ver resposta modelo

Informe-os de que uma Conta de Assinatura não pode ser usada para autenticação WiFi. As APIs de autorização de página web OAuth 2.0 necessárias para a integração com o Captive Portal estão disponíveis apenas para Contas de Serviço (服务号) verificadas. Eles precisarão registrar uma Conta de Serviço. Isso exige uma licença comercial chinesa ou uma solicitação internacional através do processo especial da Tencent, que leva de duas a quatro semanas e custa US$ 99 anualmente. A Conta de Assinatura pode continuar ativa para publicação de conteúdo; os dois tipos de conta atendem a propósitos diferentes e podem coexistir.

Q3. Após uma implantação bem-sucedida do WiFi com WeChat, a equipe de TI percebe que os usuários que se autenticaram há três semanas não estão mais aparecendo no CRM com dados de visita atualizados, embora estejam se conectando à rede. Qual é a causa provável?

Dica: Considere as configurações de gerenciamento de sessão configuradas no Purple e a duração do cache MAC.

Ver resposta modelo

A duração do cache MAC provavelmente está definida para um valor inferior a três semanas (por exemplo, 14 dias), de modo que os usuários que retornam estão recebendo acesso via cache MAC sem disparar um novo evento de autenticação ou atualização no CRM. Alternativamente, o token de acesso do WeChat para esses usuários expirou e a plataforma não o está atualizando. Correção: aumente a duração do cache MAC para 30 dias nas configurações de visitantes recorrentes do Purple e garanta que a configuração de atualização de token esteja ativa. Confirme também se o Purple está registrando as visitas em cache MAC como eventos de retorno no painel de análise, mesmo quando o portal não é exibido.

Q4. Seu estabelecimento opera tanto no Reino Unido quanto na China continental. Você deseja implantar um sistema unificado de autenticação WiFi com WeChat. Quais obrigações de conformidade você deve abordar antes de entrar no ar?

Dica: Dois regimes de privacidade distintos se aplicam às duas regiões geográficas.

Ver resposta modelo

Você deve cumprir tanto o GDPR (aplicável a usuários no Reino Unido e UE) quanto a Lei de Proteção de Informações Pessoais da China (PIPL, aplicável a usuários na China continental). Os principais requisitos incluem: exibir um aviso de privacidade claro na splash page antes de iniciar o fluxo OAuth, identificar o controlador de dados e listar as categorias de dados coletados do WeChat, declarar a base legal para o processamento em cada regime (interesses legítimos ou consentimento sob o GDPR; consentimento sob a PIPL), fornecer um mecanismo para que os usuários retirem o consentimento e solicitem a exclusão, e garantir que os mecanismos de transferência de dados estejam implementados se os dados de perfil do WeChat fluírem entre jurisdições. Consulte o guia de conformidade com o GDPR do Purple e sua assessoria jurídica para requisitos específicos de cada jurisdição.