Ubiquiti UniFi and Purple WiFi: Guia de Integração

Este guia fornece uma referência técnica definitiva para integrar a plataforma de inteligência Purple WiFi com implantações de rede Ubiquiti UniFi, cobrindo arquitetura, configuração passo a passo do controlador e captura de dados em conformidade com o GDPR. Ele foi projetado para gerentes de TI, arquitetos de rede e diretores de operações que precisam implantar uma experiência de guest WiFi segura e rica em recursos em ambientes de hospitalidade, varejo, eventos e setor público. Ao configurar corretamente o UniFi Network Controller para aproveitar o Captive Portal externo da Purple, as organizações podem transformar um centro de custo padrão em uma fonte valiosa de análise de visitantes e inteligência de marketing.

📖 8 min de leitura📝 1,793 palavras🔧 2 exemplos práticos❓ 4 questões práticas📚 10 definições principais

Ouça este guia

Ver transcrição do podcast

Boas-vindas ao Purple Technical Briefing. Eu sou o seu apresentador e, nos próximos dez minutos, forneceremos um guia de nível sênior para integrar a plataforma de inteligência de WiFi da Purple com redes Ubiquiti UniFi. Este conteúdo é voltado para gerentes de TI, arquitetos de rede e diretores de operações que precisam de orientações práticas para implantar uma solução de WiFi para convidados de classe mundial. Abordaremos a arquitetura principal, um plano de implementação passo a passo e as armadilhas comuns a serem evitadas.

Então, vamos contextualizar. Você tem uma rede UniFi — ela é poderosa, é escalável, mas seus recursos nativos de Captive Portal para convidados são básicos. Sua organização precisa de mais do que apenas uma senha; ela precisa de inteligência. Você quer entender o comportamento dos visitantes, capturar dados para marketing de forma em conformidade com o GDPR e fornecer uma experiência de usuário de marca perfeitamente integrada. Este é o problema que a integração com a Purple resolve. Ela transforma sua infraestrutura UniFi de um simples provedor de internet em uma rica fonte de inteligência de negócios.

A essência dessa integração reside no recurso External Portal Server do UniFi. Quando um convidado se conecta, o controlador UniFi não lida com o login diretamente. Em vez disso, ele redireciona o usuário para a plataforma em nuvem da Purple, que assume toda a jornada de autenticação. Depois que o usuário faz login por meio de uma conta de rede social, um formulário ou um voucher, a Purple faz uma chamada de API segura de volta ao seu controlador UniFi para dizer: 'Este usuário está autenticado, conceda-lhe acesso.' É uma arquitetura simples, robusta e altamente eficaz.

Agora, vamos ao aprofundamento técnico. Vamos passar pelas cinco etapas principais para uma implantação bem-sucedida. Serei conciso.

Etapa um: Acessibilidade do Controlador. Seu controlador UniFi deve estar acessível pela plataforma em nuvem da Purple. Isso significa que você precisa de um IP público estático ou hostname, e deve configurar uma regra de redirecionamento de porta em seu firewall. É a porta TCP 8443 para controladores de software e a porta 443 para hardware como o UDM Pro ou Cloud Key Gen2.

Etapa dois: O SSID de Convidados. Dentro do seu aplicativo de rede UniFi, você criará uma nova rede sem fio. A configuração crucial aqui é que o protocolo de segurança deve ser Open (Aberto). Isso não é negociável. É esse estado aberto que permite que o redirecionamento do Captive Portal ocorra. Não se preocupe — a segurança é tratada pelo portal e pela segmentação de rede, não por uma chave pré-compartilhada.

Etapa três: O Hotspot Portal. É aqui que você instrui o UniFi a usar a Purple. Você ativará o Hotspot Portal e definirá o tipo de autenticação como External Portal Server. Em seguida, você inserirá o endereço IP específico e o domínio de acesso fornecidos pela Purple. Um erro importante a ser evitado aqui é ativar o redirecionamento HTTPS. A Purple gerencia a segurança, portanto, isso deve ser desativado.

Passo quatro: O Jardim Murado (Walled Garden). Esta é a parte mais crítica e frequentemente mal compreendida da configuração. O Walled Garden é a sua lista de permissões de pré-autenticação. Você deve adicionar todos os domínios da Purple, além dos domínios de quaisquer provedores de login social que deseja oferecer, como facebook.com. Se esta lista estiver incompleta, o portal simplesmente não será carregado para seus convidados. É o primeiro lugar a se verificar ao solucionar problemas.

Passo cinco: O Portal Purple. Finalmente, você faz login na sua conta Purple. Nas configurações do seu estabelecimento, você inserirá o endereço público do seu controlador UniFi e, fundamentalmente, as credenciais para uma conta de administrador local dedicada — não a sua conta de nuvem Ubiquiti. É isso que permite que a Purple faça aquela chamada de API vital para autorizar o convidado.

Siga esses cinco passos e você terá uma solução de WiFi de convidados robusta e de nível empresarial.

Vamos falar sobre recomendações de implementação e armadilhas comuns. Prática recomendada número um: segmentação de rede. O seu SSID de convidados deve estar em sua própria VLAN, completamente isolado da sua rede corporativa. Isso é inegociável para fins de segurança e conformidade com o PCI DSS. Segundo, use limitação de largura de banda. O UniFi permite definir limites de taxa por usuário. Use-os para garantir uma experiência justa para todos. Terceiro, como mencionei, use uma conta de administrador local dedicada para a API. Isso limita a sua exposição de segurança.

A armadilha mais comum que vemos é uma falha de redirecionamento — o Captive Portal não carrega. Nove em cada dez vezes, trata-se de um Walled Garden incompleto. O segundo problema mais comum é um login bem-sucedido, mas sem acesso à internet. Isso aponta diretamente para uma falha de comunicação entre a Purple e o seu controlador. Verifique suas regras de encaminhamento de porta e as credenciais de administrador no portal Purple.

Hora de um Q&A rápido. Perguntam-me com frequência: Posso fazer isso com um UDM Pro? Sim, com certeza. O processo é idêntico, apenas lembre-se de usar a porta 443. E se o IP do meu controlador mudar? Você precisa de um IP estático ou de um hostname DNS dinâmico. Se o endereço mudar, a integração será interrompida. Quão seguro é um SSID aberto? A segurança é reforçada pelo isolamento do cliente no ponto de acesso e pelas regras de firewall da VLAN. A rede de convidados fica isolada. Para uma segurança ainda maior, podemos implantar o WPA3-Enterprise com RADIUS, que é exatamente o que a nossa solução PurpleConnex faz.

Para resumir, a integração do Purple com o UniFi eleva o seu guest WiFi de uma simples utilidade para um ativo estratégico. Ele fornece inteligência de negócios profunda, recursos de marketing poderosos e uma experiência de usuário profissional. A chave para o sucesso é uma abordagem metódica para a configuração: garanta o acesso ao controlador público, use um SSID aberto, configure o portal externo e o Walled Garden corretamente e use um administrador local dedicado para a API. Ao seguir este guia, você garante uma implantação tranquila, bem-sucedida e altamente valiosa. Para instruções detalhadas passo a passo por escrito e diagramas, consulte o guia de referência técnica completo em nosso site. Obrigado por ouvir o Purple Technical Briefing.

Principais conclusões

✓A integração UniFi/Purple usa o recurso External Portal Server do UniFi para redirecionar os visitantes para o Captive Portal do Purple, que gerencia a autenticação e faz chamadas de volta para a API do UniFi para autorizar o acesso do visitante — nenhum hardware adicional é necessário.
✓O Walled Garden (lista de acesso de pré-autorização) é o elemento mais crítico e mais frequentemente configurado de forma incorreta na implantação. Ele deve incluir todos os domínios do Purple, domínios de provedores de login social e endpoints Apple CNA antes que o portal funcione corretamente.
✓Sempre use uma conta de administrador local dedicada no controlador UniFi para a integração da API do Purple — nunca use as credenciais da sua conta principal na nuvem Ubiquiti. Esta é uma prática recomendada de segurança e um requisito de confiabilidade.
✓A porta correta da API depende do tipo de controlador: TCP 8443 para controladores baseados em software, TCP 443 para controladores baseados em hardware (UDM Pro, UDM SE, UDR, CloudKey Gen2+). A configuração da porta errada é uma causa comum de falhas de comunicação da API.
✓A segmentação de rede não é negociável: o SSID de visitantes deve estar em uma VLAN dedicada, protegida por firewall contra todas as redes corporativas e de gerenciamento. Isso é exigido tanto para segurança quanto para conformidade com o PCI DSS.
✓O ROI da integração do Purple vai muito além da conectividade: a análise de visitantes, a captura de dados em conformidade com a GDPR, a integração com CRM e as comunicações de marketing direcionadas transformam o WiFi de visitantes em um ativo de negócios mensurável.
✓Para usuários recorrentes, o recurso PurpleConnex (Passpoint/IEEE 802.11u) do Purple oferece uma experiência de reconexão contínua e sem credenciais usando autenticação EAP-TTLS baseada em RADIUS, eliminando a necessidade de se autenticar novamente via Captive Portal em visitas subsequentes.

Resumo Executivo

O Ubiquiti UniFi é uma das plataformas de WiFi corporativo mais amplamente implantadas no mundo, confiada por hotéis, redes de varejo, estádios e organizações do setor público por seu desempenho, escalabilidade e custo-benefício. No entanto, seus recursos nativos de portal de convidados são limitados. A plataforma de inteligência de WiFi da Purple resolve essa lacuna integrando-se diretamente ao UniFi Network Controller por meio de seu recurso de External Portal Server, fornecendo uma experiência de Captive Portal totalmente personalizada e rica em análises, sem a necessidade de hardware adicional.

Este guia fornece uma referência técnica completa para essa integração. Ele abrange a arquitetura subjacente, um processo de configuração passo a passo para as versões atuais (v7.4+) e herdadas (v7.3 e anteriores) do UniFi, melhores práticas de segurança e conformidade, e uma estrutura estruturada de resolução de problemas. As organizações que concluem essa integração obtêm acesso a análises de visitantes em tempo real, captura de dados em conformidade com o GDPR, integração com CRM e a capacidade de fornecer comunicações de marketing direcionadas — transformando o WiFi de convidados de um centro de custo em um ativo de negócios mensurável.

Detalhamento Técnico

A integração entre o Ubiquiti UniFi e a Purple depende da funcionalidade External Portal Server do UniFi. Esse recurso redireciona os usuários convidados do controlador UniFi local para um Captive Portal de terceiros designado — neste caso, a plataforma Purple. O mecanismo subjacente depende de uma série de redirecionamentos HTTP e chamadas de API que gerenciam o ciclo de vida de autorização do convidado.

Quando um convidado se conecta ao SSID de autenticação aberta designado, o controlador UniFi coloca seu dispositivo em um estado "pendente". Nesse estado, todo o tráfego HTTP é interceptado e redirecionado para a URL da splash page da Purple, com parâmetros essenciais anexados à query string da URL: o endereço MAC do convidado, o endereço MAC do AP e o identificador do site. A plataforma Purple captura esses parâmetros, apresenta a experiência de login apropriada e, após a autenticação bem-sucedida do usuário — seja por meio de login social, formulário de e-mail ou voucher —, faz uma chamada de API HTTPS segura de volta ao UniFi Network Controller para autorizar o endereço MAC do convidado por uma duração de sessão especificada. Essa autorização move o dispositivo do estado "pendente" para o estado "autorizado", concedendo-lhe acesso à internet.Um componente crítico desta arquitetura é o Walled Garden — uma lista de permissões (whitelist) de endereços IP e domínios que os dispositivos dos visitantes têm permissão para acessar antes da autenticação. Isso é essencial para permitir o acesso aos próprios domínios do Purple, provedores de login social (Facebook, Google), endpoints de detecção de CNA da Apple e quaisquer outros serviços externos necessários. Sem um Walled Garden configurado corretamente, o Captive Portal não carregará de forma alguma.

Para implantações mais avançadas, o recurso PurpleConnex do Purple introduz o suporte ao Passpoint (IEEE 802.11u), usando um servidor RADIUS para reconexão contínua e sem credenciais para usuários que retornam. Isso requer a configuração de um perfil RADIUS no UniFi apontando para o servidor de autenticação do Purple no IP 34.150.158.147, nas portas 1812 (autenticação) e 1813 (accounting).

Guia de Implementação

Esta seção fornece um guia passo a passo para configurar seu UniFi Network Controller para integrar-se ao Purple. As instruções a seguir se aplicam ao UniFi Network Application versão 7.4 ou mais recente. Para versões herdadas (v7.3 e anteriores), os princípios de configuração são idênticos, mas o caminho de navegação difere ligeiramente, usando Profiles > Guest Hotspot em vez do Hotspot Manager.

Passo 1: Verificar e Estabelecer a Acessibilidade do Controller. Antes de iniciar qualquer configuração, confirme se o seu UniFi Network Controller está acessível a partir da internet pública. A plataforma de nuvem do Purple deve ser capaz de se comunicar com a API do seu controller para autorizar as sessões dos visitantes. Para UniFi Controllers baseados em software, isso requer uma regra de encaminhamento de porta em seu firewall mapeando a porta TCP 8443 para o endereço IP interno da LAN do controller. Para implantações baseadas em hardware — incluindo o UniFi Dream Machine Pro (UDM Pro), UDM Special Edition, UDR e CloudKey Gen2+ — a porta relevante é a TCP 443.

Passo 2: Criar uma Conta de Administrador Local Dedicada. Por questão de higiene de segurança, nunca use as credenciais de superadministrador principal ou de conta de nuvem da Ubiquiti para a integração da API do Purple. Crie uma nova conta de administrador local dedicada no seu UniFi controller especificamente para essa finalidade. Esta conta deve ter privilégios administrativos totais para o site relevante. O uso de uma conta dedicada limita o raio de alcance de qualquer potencial comprometimento de credenciais e garante que a integração não seja interrompida por alterações na sua conta principal.

Passo 3: Crie o SSID do Guest WiFi. No UniFi Network Application, navegue até Settings > WiFi e clique em Create New. Atribua um nome público (por exemplo, 'Hotel Guest WiFi'). Defina o Security Protocol como Open — isso é obrigatório para que o mecanismo de redirecionamento do Captive Portal funcione. Atribua o SSID à sua VLAN de convidados designada. Ative o seletor Hotspot Portal.

Passo 4: Configure o Hotspot Portal e o Servidor Externo. Navegue até Hotspot Manager > Landing Page. Em Authentication, selecione External Portal Server e insira o endereço IP do Portal Externo fornecido pela Purple. Em Settings, configure da seguinte forma: ative Secure Portal, ative Redirect using Hostname e insira o Access Domain fornecido pela Purple, e certifique-se de que o HTTPS Redirection esteja definido como Disabled. A Default Expiration da sessão deve ser definida para 8 horas.

Passo 5: Configure o Walled Garden. Nas configurações do Hotspot Manager, localize a seção Pre-Authorization Access. Adicione todos os domínios da lista fornecida pela Purple. Esta lista normalmente inclui os domínios da própria plataforma Purple, domínios de provedores de login social (facebook.com, google.com, accounts.google.com), endpoints de detecção do Captive Network Assistant (CNA) da Apple e quaisquer outros serviços de terceiros usados em sua splash page. Esta etapa é a fonte mais comum de falhas de implantação e deve ser concluída com precisão.

Passo 6: Insira os Detalhes do Controller no Portal Purple. Faça login em sua conta Purple e navegue até as configurações do local (Venue) relevante. Insira o endereço IP público ou hostname do seu UniFi Controller e as credenciais da conta de administrador local dedicada criada no Passo 2. Salve a configuração. A Purple tentará validar a conexão.

Passo 7: Teste e Valide. Usando um dispositivo móvel que não tenha se conectado anteriormente à rede, conecte-se ao novo SSID de convidados. Você deve ser redirecionado automaticamente para o Captive Portal da Purple. Autentique-se usando um dos métodos configurados. Após o sucesso, você deverá receber acesso à internet. Se o redirecionamento falhar ou o acesso à internet não for concedido após a autenticação, consulte a seção de Resolução de Problemas abaixo.

Melhores Práticas

A segmentação de rede é o requisito de segurança fundamental para qualquer implantação de guest WiFi. O SSID de convidados deve ser atribuído a uma VLAN dedicada que seja protegida por firewall contra todas as redes corporativas e administrativas. Isso impede que dispositivos de convidados acessem recursos internos, satisfaz os requisitos de isolamento de rede PCI DSS e limita o impacto de qualquer incidente de segurança na rede de convidados.

O gerenciamento de largura de banda é igualmente importante em ambientes de alta densidade. O recurso de limitação de taxa por usuário do UniFi deve ser configurado para estabelecer limites razoáveis de upload e download para usuários convidados. Isso evita que um pequeno número de usuários de alta largura de banda prejudique a experiência de todos os convidados, o que é particularmente relevante em implantações de hotéis e centros de conferências. O Walled Garden requer manutenção contínua. Provedores de login social e outros serviços de terceiros atualizam periodicamente suas estruturas de domínio. Uma revisão trimestral da configuração do Walled Garden, cruzada com a lista de domínios recomendados mais recente da Purple, é uma prática operacional recomendada. A falha em manter esta lista é a principal causa de falhas no portal pós-implantação.

Para a integração de API, use sempre uma conta de administrador local dedicada, em vez de uma conta vinculada à nuvem. Essa é tanto uma prática recomendada de segurança quanto uma medida de confiabilidade — as credenciais de contas em nuvem estão sujeitas a fluxos de autenticação multifator que podem interromper as chamadas de API automatizadas que a Purple faz para autorizar os convidados.

Solução de problemas e mitigação de riscos

O modo de falha mais comum é um Captive Portal que não carrega. Quando um convidado se conecta ao SSID mas não vê nenhum redirecionamento, ou a página do portal falha ao renderizar, a causa raiz é quase invariavelmente um Walled Garden incompleto. Comece a solução de problemas conectando um dispositivo de teste e tentando navegar para um URL HTTP conhecido. Se o redirecionamento ocorrer mas a página falhar ao carregar, adicione os domínios ausentes ao Walled Garden. Verifique também se o DNS da rede de convidados está configurado corretamente para resolver hostnames externos.

A segunda falha mais comum é um cenário em que o convidado se autentica com sucesso no portal Purple, mas não recebe acesso à internet. Isso indica uma falha na comunicação de API entre a Purple e o controladora UniFi. As etapas de diagnóstico são: primeiro, confirmar se a controladora está acessível publicamente na porta correta tentando alcançá-la a partir de uma rede externa; segundo, verificar se as credenciais de administrador local inseridas no portal Purple estão corretas e se a conta não foi bloqueada; terceiro, revisar os logs de eventos da controladora UniFi em busca de quaisquer erros de autenticação de API.

Para implantações em produção, a disponibilidade da controladora é um fator de risco crítico. Se a controladora UniFi ficar offline, novas autorizações de convidados falharão. As estratégias de mitigação incluem implantar uma controladora UniFi hospedada na nuvem (que fornece redundância inerente), implementar um par de controladoras de alta disponibilidade ou configurar monitoramento e alertas sobre a disponibilidade da controladora. A plataforma da Purple enfileirará as tentativas de autorização e tentará novamente, mas um tempo de inatividade prolongado da controladora resultará em uma experiência de convidado degradada.

Do ponto de vista de conformidade, os dados coletados por meio do Captive Portal estão sujeitos à GDPR e regulamentações de proteção de dados equivalentes. A plataforma da Purple foi arquitetada para conformidade, fornecendo gerenciamento de consentimento, ferramentas para solicitações de acesso de titulares de dados (DSAR) e políticas configuráveis de retenção de dados. No entanto, a responsabilidade legal pelo processamento lícito de dados permanece com o operador do local. Certifique-se de que sua política de privacidade esteja claramente vinculada na página de splash, que você tenha uma base legal documentada para a coleta de dados e que suas configurações de retenção de dados estejam alinhadas com a política da sua organização.

ROI e Impacto nos Negócios

Integrar o Purple com o UniFi não é apenas uma atualização técnica; é uma decisão de negócios estratégica que transforma o WiFi de visitantes de um centro de custo em um ativo poderoso. O retorno sobre o investimento é mensurável em várias dimensões importantes.

A inteligência de negócios é o principal fator de valor. O Purple captura dados ricos e anonimizados sobre o comportamento dos visitantes — incluindo fluxo de pessoas, tempo de permanência, frequência de visitas e padrões de movimento. Para uma rede de varejo, esses dados podem influenciar diretamente as decisões de layout de loja, níveis de pessoal e cronograma de promoções. Para um hotel, podem revelar quais comodidades são mais utilizadas e em quais horários, permitindo upselling mais direcionado e eficiência operacional.

Os recursos de marketing e engajamento representam um benefício secundário significativo. Ao capturar os dados de contato dos visitantes com consentimento, as organizações podem construir um banco de dados de marketing primário (first-party) que não está sujeito às limitações da depreciação de cookies de terceiros. Campanhas de e-mail pós-visita, pesquisas de satisfação e convites para programas de fidelidade podem ser automatizados diretamente a partir da plataforma Purple, gerando melhorias mensuráveis nas taxas de retorno de visitas e no valor do tempo de vida do cliente (customer lifetime value).

Para grandes locais, como estádios, centros de convenções e shopping centers, a inteligência operacional derivada de análises de fluxo de pessoas em tempo real e mapas de calor pode gerar ganhos de eficiência significativos — otimizando cronogramas de limpeza, implantação de segurança e posicionamento de concessões comerciais com base em dados reais de movimentação de visitantes, em vez de suposições.

Em certos contextos, a própria infraestrutura de WiFi de visitantes pode ser monetizada por meio de modelos de acesso em camadas, páginas de login patrocinadas (splash pages) ou publicidade direcionada, criando um fluxo de receita direto que compensa o custo do investimento em infraestrutura.

Definições principais

Captive Portal

Uma página web exibida a usuários recém-conectados a uma rede WiFi antes que lhes seja concedido um acesso mais amplo à internet. Ela controla o acesso, autentica os usuários e/ou apresenta termos de serviço e conteúdo de marketing.

Em uma integração UniFi/Purple, o controlador UniFi redireciona o visitante para o captive portal hospedado pela Purple, que gerencia toda a experiência do visitante, incluindo autenticação, captura de consentimento e branding.

External Portal Server

Uma opção de configuração do UniFi que delega a experiência do captive portal para uma aplicação web de terceiros, em vez de usar o portal integrado do UniFi. O controlador UniFi redireciona os visitantes para a URL externa especificada e depende desse sistema para lidar com a autenticação e para chamar a API do controlador para autorizar o visitante.

Esta é a configuração principal do UniFi que permite a integração com a Purple. Ela é encontrada em Hotspot Manager > Landing Page > Authentication no UniFi Network v7.4+.

Walled Garden

Uma lista de permissões (whitelist) de endereços IP, hostnames e domínios que um dispositivo visitante tem permissão para acessar antes de ser autenticado pelo captive portal. O tráfego para destinos que não estão na lista de permissões é bloqueado até que o visitante conclua o fluxo de autenticação.

Isso é fundamental para permitir que o dispositivo carregue a splash page da própria Purple, bem como quaisquer recursos de terceiros dos quais ela dependa, como provedores de login social ou gateways de pagamento. Um Walled Garden incompleto é a principal causa de falhas no captive portal.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede (RFC 2865) que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam a um serviço de rede.

Embora a integração padrão da Purple use a API do UniFi para autorização de visitantes, o recurso PurpleConnex (Passpoint) usa RADIUS para fornecer uma experiência de conexão mais segura e contínua para usuários que retornam, eliminando a necessidade de se autenticar novamente via captive portal.

Passpoint (IEEE 802.11u / Hotspot 2.0)

Um programa de certificação da WiFi Alliance que permite a autenticação automática e segura em redes WiFi sem exigir que o usuário selecione manualmente uma rede ou insira credenciais. Dispositivos com um perfil Passpoint conectam-se de forma automática e segura usando autenticação baseada em EAP.

O recurso PurpleConnex da Purple aproveita o Passpoint para fornecer uma experiência de reconexão contínua para visitantes que retornam. Uma vez que o usuário se autentique uma vez via captive portal, as visitas subsequentes podem se conectar automaticamente sem visualizar a splash page novamente.

SSID (Service Set Identifier)

O nome público de uma rede local sem fio (WLAN) — o nome da rede que aparece quando um usuário busca por conexões WiFi disponíveis em seu dispositivo.

Para uma integração de rede de visitantes, um SSID dedicado é criado com segurança Aberta e vinculado ao captive portal. Este é mantido separado do SSID corporativo, que usa autenticação WPA2/WPA3-Enterprise.

VLAN (Virtual Local Area Network)

Um método de criar redes logicamente separadas na mesma infraestrutura de rede física. Dispositivos em VLANs diferentes não podem se comunicar entre si sem um roteador, fornecendo segmentação de rede e isolamento de segurança.

As melhores práticas de segurança e a conformidade com o PCI DSS exigem que o SSID de visitantes seja colocado em sua própria VLAN, completamente isolada das redes corporativa, de gerenciamento e de PDV. Isso impede que os dispositivos dos visitantes acessem recursos internos.

WISPr (Wireless Internet Service Provider Roaming)

Um protocolo padrão do setor que define como um dispositivo cliente descobre e se autentica em um captive portal de ponto de acesso WiFi. Ele usa redirecionamentos HTTP e mensagens de autenticação baseadas em XML para gerenciar a interação com o portal.

A funcionalidade de portal externo do UniFi é baseada nos princípios do WISPr. Compreender esse protocolo ajuda os engenheiros de rede a solucionar falhas de redirecionamento e a entender por que certos dispositivos de clientes (particularmente iOS e Android) se comportam de maneira diferente ao se conectarem a redes com captive portal.

Port Forwarding

Uma técnica de tradução de endereços de rede (NAT) que mapeia uma porta externa em um roteador ou firewall para um endereço IP e porta internos específicos, permitindo que serviços externos iniciem conexões com dispositivos em uma rede privada.

Se o seu controlador UniFi estiver hospedado em uma rede local, uma regra de port forwarding deve ser configurada para permitir que a plataforma de nuvem da Purple alcance a API do controlador. A porta necessária é a 8443 para controladores de software ou 443 para controladores baseados em hardware.

PurpleConnex

A implementação da Purple do padrão Passpoint (IEEE 802.11u), que fornece uma conexão WiFi segura e contínua para usuários recorrentes usando autenticação EAP-TTLS por meio de um servidor RADIUS dedicado. Ele elimina a necessidade de visitantes frequentes se autenticarem novamente via captive portal.

O PurpleConnex requer configuração adicional no UniFi: um perfil RADIUS apontando para o servidor de autenticação da Purple e um SSID separado habilitado para Passpoint. É particularmente valioso em ambientes de hotelaria e varejo, onde visitantes frequentes são comuns.

Exemplos práticos

Um hotel boutique de 250 quartos deseja substituir seu WiFi de visitantes básico e instável por uma experiência premium e personalizada com sua marca. Seus objetivos são capturar endereços de e-mail dos hóspedes para marketing pós-estadia, promover seu spa e restaurante na página de login e garantir conectividade contínua para hóspedes com múltiplos dispositivos. Sua infraestrutura consiste em um UniFi Dream Machine Pro e 40 pontos de acesso UniFi U6 Pro.

A implantação recomendada integra o UDM Pro com a Purple por meio do método External Portal Server. Um novo SSID 'Hotel Guest WiFi' é criado com segurança Aberta e atribuído a uma VLAN de Visitantes dedicada (ex: VLAN 20), que é protegida por firewall contra as redes de gerenciamento e POS do hotel. O Hotspot Portal é ativado e configurado para usar a Purple como o servidor de portal externo. Como o UDM Pro usa a porta 443, uma regra de redirecionamento de porta é criada na interface WAN do UDM Pro mapeando a porta TCP 443 para o IP da LAN do UDM Pro. Uma conta de administrador local dedicada ('purple-api') é criada no UDM Pro com privilégios totais de site. No portal Purple, uma Captive Portal personalizada é desenhada com o logotipo do hotel, um formulário simples de captura de e-mail com caixa de seleção de consentimento da GDPR e um banner de destaque anunciando o spa com um link direto de reserva. O Walled Garden é configurado para incluir todos os domínios da Purple, Facebook, Google e endpoints de CNA da Apple. A equipe de marketing do hotel recebe acesso ao painel de analytics da Purple, permitindo rastrear a contagem diária de visitantes, horários de pico de conexão e taxas de captura de e-mail. No primeiro trimestre, o hotel captura uma média de 180 novos endereços de e-mail por semana, que são sincronizados automaticamente com o CRM deles para automação de campanhas pós-estadia.

Comentário do examinador: Esta solução aborda corretamente todos os requisitos. A escolha de um Captive Portal externo em vez do portal integrado da UniFi é a única abordagem viável para atingir o nível exigido de branding, captura de dados e integração com CRM. A decisão de usar uma conta de administrador local dedicada ('purple-api') em vez do super-admin principal é uma prática recomendada de segurança crítica — ela limita o escopo do acesso à API e garante que a integração não seja interrompida por alterações na conta principal. A segmentação por VLAN protege os sistemas de POS e gerenciamento do hotel contra o tráfego da rede de visitantes, o que é um requisito do PCI DSS. A configuração da porta 443 para o UDM Pro é um ponto comum de confusão para engenheiros acostumados a controladores de software; essa distinção deve ser claramente compreendida antes da implantação.

Uma rede de varejo com 20 lojas no Reino Unido, cada uma equipada com APs UniFi gerenciados por um único controlador UniFi hospedado na nuvem, deseja usar dados de WiFi de visitantes para entender o comportamento do cliente. O diretor de operações precisa medir o fluxo de pessoas, tempo de permanência e taxas de visitantes recorrentes em todas as lojas para subsidiar um programa de redesenho do layout das lojas e avaliar o desempenho de campanhas promocionais nas lojas.

Como o controlador UniFi hospedado na nuvem já possui um hostname público, nenhum redirecionamento de porta é necessário — o que simplifica significativamente a implantação. Um único SSID de visitantes ('Brand WiFi') é configurado e aplicado a todos os 20 sites por meio dos recursos de gerenciamento de sites do controlador UniFi. O Hotspot Portal é configurado para usar o servidor de portal externo da Purple. No portal Purple, cada uma das 20 lojas é configurada como um local separado, permitindo análises detalhadas no nível de loja. A Captive Portal é projetada para máxima adesão: um único botão 'Conectar' com um breve aviso de privacidade, minimizando o atrito. Dentro da plataforma de analytics da Purple, o diretor de operações pode visualizar um painel comparativo mostrando o fluxo de pessoas, tempo de permanência e a proporção de novos visitantes versus visitantes recorrentes para cada loja. Após 90 dias de coleta de dados, as análises revelam que três lojas têm tempos de permanência significativamente maiores do que as outras, correlacionando-se com um layout de loja específico. Esse insight informa diretamente o programa de redesenho de layout, com o layout de alto desempenho sendo implementado em todas as 20 lojas. Uma campanha promocional é executada em todas as lojas simultaneamente, e o painel da Purple fornece uma comparação clara de antes e depois do fluxo de pessoas e do tempo de permanência, demonstrando um aumento mensurável na campanha.

Comentário do examinador: Este cenário destaca o poder de uma implantação centralizada e multi-local da Purple. A principal decisão de arquitetura é o uso de um único controlador UniFi hospedado na nuvem, o que elimina a complexidade de redirecionamento de portas presente em implantações locais e fornece um único ponto de gerenciamento para todos os 20 sites. O design da Captive Portal de 'conexão com um clique' e baixo atrito é a escolha correta para um ambiente de varejo onde maximizar o volume de coleta de dados é o objetivo principal — um formulário de login complexo reduziria significativamente as taxas de adesão. A separação de cada loja como um local distinto na Purple é essencial para gerar insights acionáveis no nível da loja, em vez de dados agregados que ocultam as diferenças de desempenho entre os locais.

Questões práticas

Q1. Um gerente de TI de um hotel concluiu a configuração da integração UniFi/Purple e a testou com sucesso no escritório. No entanto, após a implantação no ambiente real do hotel, os hóspedes relatam que a página do Captive Portal carrega, mas o botão 'Login com Facebook' não funciona. Qual é a causa mais provável e como isso deve ser resolvido?

Dica: Considere quais recursos o botão de login do Facebook precisa carregar e funcionar, e se esses recursos estão acessíveis para um dispositivo convidado antes da autenticação.

Ver resposta modelo

A causa mais provável é que os domínios de login do Facebook não estão incluídos no Walled Garden (lista de acesso de pré-autorização). Quando o dispositivo de um convidado está no estado 'pendente', ele só pode acessar domínios explicitamente listados no Walled Garden. O fluxo de login do Facebook exige acesso ao facebook.com, fbcdn.net e domínios relacionados. A resolução é adicionar todos os domínios do Facebook necessários ao Walled Garden nas configurações do UniFi Hotspot Manager. A Purple fornece uma lista atualizada de domínios obrigatórios para cada provedor de login social. Após atualizar o Walled Garden, teste o fluxo de login do Facebook novamente com uma nova conexão de dispositivo.

Q2. Um arquiteto de rede está planejando uma implantação de WiFi para convidados em um centro de conferências de 5.000 assentos que sediará eventos com até 3.000 usuários simultâneos de WiFi. O local utiliza um controlador UniFi baseado em software hospedado em um servidor na sala de servidores do próprio local. Quais são as três considerações de infraestrutura mais críticas para garantir que a integração com a Purple permaneça confiável durante os picos de eventos?

Dica: Pense nos pontos únicos de falha na arquitetura de integração — o que acontece se o controlador ficar offline, se a conexão de internet estiver saturada ou se o hardware do controlador estiver subdimensionado?

Ver resposta modelo

As três considerações mais críticas são: Primeiro, a disponibilidade e o desempenho do controlador — o controlador UniFi é um componente crítico em cada autorização de convidado. Com 3.000 usuários simultâneos, o controlador deve ter CPU e RAM suficientes para lidar com a carga. Considere atualizar para um servidor de alta especificação ou migrar para um controlador hospedado na nuvem para redundância inerente. Segundo, a conectividade de internet e a confiabilidade do redirecionamento de portas (port forwarding) — as chamadas de API da Purple para o controlador devem atravessar a conexão de internet do local. Certifique-se de que a regra de redirecionamento de porta esteja em um firewall resiliente e que a conexão de internet tenha capacidade suficiente. Uma conexão de internet secundária com failover automático é aconselhável para eventos de missão crítica. Terceiro, o gerenciamento de largura de banda — com 3.000 usuários, implemente limites estritos de taxa por usuário no UniFi para evitar o esgotamento da largura de banda. Sem limitação de taxa, um pequeno número de usuários de alta largura de banda pode prejudicar a experiência de todos os convidados.

Q3. O gerente de TI de uma rede de varejo foi solicitado pela equipe jurídica a garantir que a coleta de dados de WiFi de convidados esteja em total conformidade com a GDPR. A página de splash atual possui um botão simples de 'Conectar' sem mecanismo de consentimento explícito. Quais alterações precisam ser feitas na configuração da Purple e quais processos operacionais contínuos devem ser implementados?

Dica: A GDPR exige uma base legal para o processamento de dados pessoais, transparência sobre como os dados serão usados e mecanismos para que os titulares dos dados exerçam seus direitos.

Ver resposta modelo

As seguintes alterações e processos são necessários: Na página de splash, o botão 'Conectar' deve ser substituído por um mecanismo de aceitação (opt-in) explícito. Isso significa adicionar uma caixa de seleção de consentimento claramente redigida (desmarcada por padrão) que declare quais dados estão sendo coletados, como serão usados e com quem serão compartilhados. Um link para a política de privacidade completa deve ser exibido com destaque. A base legal para o processamento deve ser o consentimento explícito para comunicações de marketing e o interesse legítimo para análises anonimizadas. No portal da Purple, configure as definições de retenção de dados para alinhar com a política de retenção de dados da organização — normalmente não mais do que 24 meses para dados de marketing. Ative as ferramentas de GDPR da Purple para lidar com solicitações de acesso a dados pelo titular (DSARs) e solicitações de direito ao esquecimento (exclusão). Operacionalmente, implemente um processo de revisão trimestral para garantir que a política de privacidade continue precisa, a redação do consentimento esteja atualizada e as configurações de retenção de dados estejam sendo aplicadas. Mantenha um registro de atividades de processamento (ROPA) para a coleta de dados de WiFi de convidados.

Q4. Um engenheiro de rede configurou a integração UniFi/Purple seguindo todas as etapas documentadas. Ao testar, o dispositivo do convidado se conecta ao SSID e é redirecionado para o portal da Purple. O convidado se autentica com sucesso, mas não recebe acesso à internet. O portal da Purple mostra a autenticação como bem-sucedida. Qual é o processo de diagnóstico?

Dica: Se a Purple mostrar uma autenticação bem-sucedida, mas o convidado não tiver acesso à internet, o problema está no caminho de comunicação entre a Purple e o controlador UniFi.

Ver resposta modelo

Este sintoma indica que a chamada de API da Purple para o controlador UniFi — a chamada que move o dispositivo do convidado de 'pendente' para 'autorizado' — está falhando. O processo de diagnóstico é o seguinte: Primeiro, verifique se o controlador UniFi está acessível publicamente na porta correta (8443 para software, 443 para hardware) tentando acessar a interface de gerenciamento do controlador a partir de uma rede externa ou usando uma ferramenta online de verificação de portas. Segundo, faça login no portal da Purple e verifique se o IP/hostname do controlador e as credenciais de administrador local estão corretos. Um erro comum é inserir o IP da LAN interna do controlador em vez de seu IP público, ou usar credenciais de conta na nuvem em vez de credenciais de administrador local. Terceiro, verifique o log de eventos do controlador UniFi para identificar quaisquer erros de autenticação de API ou tentativas de login malsucedidas vindas dos endereços IP da Purple. Quarto, verifique se a regra de firewall ou redirecionamento de porta está configurada corretamente e se os endereços IP de origem da Purple não estão sendo bloqueados por nenhum dispositivo de segurança upstream.

Continue a ler esta série

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Integração de Access Points Grandstream GWN com Purple WiFi

Este guia de referência técnica detalhado explica como integrar os access points Grandstream GWN com o Guest WiFi e a plataforma de analytics da Purple. Ele abrange a configuração do Captive Portal Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários via 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas passo a passo para MSPs e equipes de TI que implantam WiFi para visitantes e funcionários em escala.