Ubiquiti UniFi and Purple WiFi: Guia de Integração

Este guia fornece uma referência técnica definitiva para integrar a plataforma de inteligência Purple WiFi com implementações de rede Ubiquiti UniFi, cobrindo a arquitetura, a configuração passo a passo do controlador e a captura de dados em conformidade com o GDPR. Foi concebido para gestores de TI, arquitetos de rede e diretores de operações que necessitam de implementar uma experiência de WiFi para convidados segura e rica em funcionalidades em ambientes de hotelaria, retalho, eventos e setor público. Ao configurar corretamente o UniFi Network Controller para tirar partido do Captive Portal externo da Purple, as organizações podem transformar um centro de custos padrão numa fonte valiosa de análise de visitantes e inteligência de marketing.

📖 8 min de leitura📝 1,793 palavras🔧 2 exemplos práticos❓ 4 perguntas de prática📚 10 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Technical Briefing. Sou o seu anfitrião e, nos próximos dez minutos, forneceremos um guia de nível sénior para integrar a plataforma de inteligência de WiFi da Purple com redes Ubiquiti UniFi. Isto destina-se a gestores de TI, arquitetos de rede e diretores de operações que necessitam de orientação prática para implementar uma solução de WiFi para convidados de classe mundial. Iremos abordar a arquitetura principal, um plano de implementação passo a passo e as armadilhas comuns a evitar.

Vamos contextualizar. Tem uma rede UniFi — é potente, é escalável, mas as suas capacidades nativas de Captive Portal para convidados são básicas. A sua organização precisa de mais do que apenas uma palavra-passe; precisa de inteligência. Quer compreender o comportamento dos visitantes, recolher dados para marketing em conformidade com o GDPR e proporcionar uma experiência de utilizador fluida e personalizada com a sua marca. Este é o problema que a integração da Purple resolve. Transforma a sua infraestrutura UniFi de um simples fornecedor de internet numa fonte rica de inteligência empresarial.

O núcleo desta integração reside na funcionalidade External Portal Server da UniFi. Quando um convidado se liga, o controlador UniFi não gere o início de sessão por si próprio. Em vez disso, redireciona o utilizador para a plataforma de nuvem da Purple, que assume todo o percurso de autenticação. Depois de o utilizador iniciar sessão através de uma conta de rede social, de um formulário ou de um voucher, a Purple faz uma chamada de API segura de volta para o seu controlador UniFi para dizer: 'Este utilizador está autenticado, conceda-lhe acesso.' É uma arquitetura simples, robusta e altamente eficaz.

Agora, aprofundando a parte técnica. Vamos percorrer os cinco passos principais para uma implementação bem-sucedida. Serei conciso.

Passo um: Acessibilidade do Controlador. O seu controlador UniFi deve estar acessível pela plataforma de nuvem da Purple. Isto significa que precisa de um IP público estático ou de um hostname, e deve configurar uma regra de reencaminhamento de portas no seu firewall. É a porta TCP 8443 para controladores de software e a porta 443 para hardware como o UDM Pro ou Cloud Key Gen2.

Passo dois: O SSID de Convidados. Dentro da sua aplicação de rede UniFi, irá criar uma nova rede sem fios. A configuração crucial aqui é que o protocolo de segurança deve ser Aberto. Isto é inegociável. É este estado aberto que permite que o redirecionamento do Captive Portal ocorra. Não se preocupe — a segurança é gerida pelo portal e pela segmentação de rede, não por uma chave pré-partilhada.

Passo três: O Hotspot Portal. É aqui que indica à UniFi para utilizar a Purple. Irá ativar o Hotspot Portal e definir o tipo de autenticação para External Portal Server. Em seguida, irá introduzir o endereço IP específico e o domínio de acesso fornecidos pela Purple. Um erro fundamental a evitar aqui é ativar o redirecionamento HTTPS. A Purple gere a segurança, pelo que este deve ser desativado.

Passo quatro: O Walled Garden. Esta é a parte mais crítica e frequentemente incompreendida da configuração. O Walled Garden é a sua lista de permissões de pré-autenticação. Deve adicionar todos os domínios da Purple, além dos domínios de quaisquer fornecedores de login social que pretenda disponibilizar, como o facebook.com. Se esta lista estiver incompleta, o portal simplesmente não irá carregar para os seus convidados. É o primeiro local a verificar ao resolver problemas.

Passo cinco: O Purple Portal. Finalmente, inicia sessão na sua conta Purple. Nas definições do seu local, irá introduzir o endereço público do seu controlador UniFi e, muito importante, as credenciais de uma conta de administrador local dedicada — não a sua conta cloud Ubiquiti. É isto que permite à Purple efetuar essa chamada de API vital para autorizar o convidado.

Siga estes cinco passos e terá uma solução de WiFi para convidados robusta e de nível empresarial.

Vamos falar sobre recomendações de implementação e armadilhas comuns. Primeira boa prática: segmentação de rede. O seu SSID de convidados deve estar na sua própria VLAN, completamente isolado da sua rede corporativa. Isto é inegociável para a segurança e conformidade com o PCI DSS. Segundo, utilize a limitação de largura de banda. O UniFi permite-lhe definir limites de taxa por utilizador. Utilize-os para garantir uma experiência justa para todos. Terceiro, como mencionei, utilize uma conta de administrador local dedicada para a API. Isto limita a sua exposição de segurança.

A armadilha mais comum que vemos é uma falha no redirecionamento — o portal não carrega. Nove em cada dez vezes, trata-se de um Walled Garden incompleto. O segundo problema mais comum é um login bem-sucedido, mas sem acesso à internet. Isto aponta diretamente para uma falha de comunicação entre a Purple e o seu controlador. Verifique as suas regras de reencaminhamento de portas e as credenciais de administrador no portal Purple.

Hora de uma sessão rápida de perguntas e respostas. Perguntam-me frequentemente: Posso fazer isto com um UDM Pro? Sim, absolutamente. O processo é idêntico, lembre-se apenas de utilizar a porta 443. E se o IP do meu controlador mudar? Precisa de um IP estático ou de um nome de anfitrião DNS dinâmico. Se o endereço mudar, a integração deixará de funcionar. Quão seguro é um SSID aberto? A segurança é aplicada pelo isolamento de clientes no ponto de acesso e pelas regras de firewall da VLAN. A rede de convidados está isolada. Para uma segurança ainda maior, podemos implementar WPA3-Enterprise com RADIUS, que é o que a nossa solução PurpleConnex faz.

Em resumo, a integração do Purple com o UniFi eleva o seu WiFi de convidados de um simples serviço utilitário para um ativo estratégico. Proporciona inteligência de negócio profunda, capacidades de marketing poderosas e uma experiência de utilizador profissional. A chave para o sucesso é uma abordagem metódica à configuração: garanta o acesso público ao controlador, utilize um SSID aberto, configure o portal externo e o Walled Garden corretamente, e utilize um administrador local dedicado para a API. Ao seguir este guia, pode garantir uma implementação suave, bem-sucedida e altamente valiosa. Para instruções detalhadas passo a passo por escrito e diagramas, consulte o guia de referência técnica completo no nosso website. Obrigado por ouvir o Purple Technical Briefing.

Principais Conclusões

✓A integração UniFi/Purple utiliza a funcionalidade External Portal Server da UniFi para redirecionar os convidados para o Captive Portal da Purple, que gere a autenticação e comunica de volta com a API UniFi para autorizar o acesso dos convidados — não é necessário hardware adicional.
✓A Walled Garden (lista de acesso pré-autorização) é o elemento mais crítico e mais frequentemente mal configurado da implementação. Deve incluir todos os domínios Purple, domínios de fornecedores de login social e endpoints Apple CNA antes que o portal possa funcionar corretamente.
✓Utilize sempre uma conta de administrador local dedicada no controlador UniFi para a integração da API Purple — nunca utilize as credenciais da sua conta cloud Ubiquiti principal. Esta é uma prática recomendada de segurança e um requisito de fiabilidade.
✓A porta de API correta depende do tipo de controlador: TCP 8443 para controladores baseados em software, TCP 443 para controladores baseados em hardware (UDM Pro, UDM SE, UDR, CloudKey Gen2+). A configuração da porta errada é uma causa comum de falhas de comunicação da API.
✓A segmentação de rede é inegociável: o SSID de convidados deve estar numa VLAN dedicada, protegida por firewall de todas as redes corporativas e de gestão. Isto é necessário tanto para a segurança como para a conformidade com o PCI DSS.
✓O ROI da integração Purple vai muito além da conectividade: a análise de visitantes, a recolha de dados em conformidade com o GDPR, a integração com CRM e as comunicações de marketing direcionadas transformam o WiFi de convidados num ativo de negócio mensurável.
✓Para utilizadores recorrentes, a funcionalidade PurpleConnex (Passpoint/IEEE 802.11u) da Purple proporciona uma experiência de ligação contínua e sem credenciais, utilizando autenticação EAP-TTLS baseada em RADIUS, eliminando a necessidade de nova autenticação através do Captive Portal em visitas subsequentes.

Resumo Executivo

O Ubiquiti UniFi é uma das plataformas de WiFi empresarial mais amplamente implementadas no mundo, na qual confiam hotéis, cadeias de retalho, estádios e organizações do setor público pelo seu desempenho, escalabilidade e relação custo-benefício. No entanto, as suas capacidades nativas de portal de convidados são limitadas. A plataforma de inteligência de WiFi da Purple resolve esta lacuna integrando-se diretamente com o UniFi Network Controller através da sua funcionalidade External Portal Server, proporcionando uma experiência de Captive Portal totalmente personalizada com a marca e rica em análises, sem necessidade de qualquer hardware adicional.

Este guia fornece uma referência técnica completa para essa integração. Abrange a arquitetura subjacente, um processo de configuração passo a passo para as versões UniFi atuais (v7.4+) e legadas (v7.3 e anteriores), boas práticas de segurança e conformidade, e uma estrutura de resolução de problemas estruturada. As organizações que concluem esta integração ganham acesso a análises de visitantes em tempo real, recolha de dados em conformidade com o GDPR, integração com CRM e a capacidade de fornecer comunicações de marketing direcionadas — transformando o WiFi de convidados de um centro de custos num ativo de negócio mensurável.

Análise Técnica Detalhada

A integração entre o Ubiquiti UniFi e a Purple baseia-se na funcionalidade External Portal Server do UniFi. Esta funcionalidade redireciona os utilizadores convidados do controlador UniFi local para um Captive Portal de terceiros designado — neste caso, a plataforma Purple. O mecanismo subjacente baseia-se numa série de redirecionamentos HTTP e chamadas de API que gerem o ciclo de vida de autorização de convidados.

Quando um convidado se liga ao SSID de autenticação aberta designado, o controlador UniFi coloca o seu dispositivo num estado "pendente". Neste estado, todo o tráfego HTTP é intercetado e redirecionado para o URL da página de splash da Purple, com parâmetros-chave anexados à query string do URL: o endereço MAC do convidado, o endereço MAC do AP e o identificador do site. A plataforma Purple captura estes parâmetros, apresenta a experiência de início de sessão adequada e, após a autenticação bem-sucedida do utilizador — seja através de login social, formulário de e-mail ou voucher —, faz uma chamada de API HTTPS segura de volta ao UniFi Network Controller para autorizar o endereço MAC do convidado por uma duração de sessão especificada. Esta autorização move o dispositivo do estado "pendente" para o estado "autorizado", concedendo-lhe acesso à internet.

Um componente crítico desta arquitetura é o Walled Garden — uma lista de permissões (whitelist) de endereços IP e domínios que os dispositivos dos convidados têm permissão para aceder antes da autenticação. Isto é essencial para permitir o acesso aos domínios do próprio Purple, fornecedores de login social (Facebook, Google), endpoints de deteção de CNA da Apple e quaisquer outros serviços externos necessários. Sem um Walled Garden configurado corretamente, o Captive Portal não será carregado de todo.

Para implementações mais avançadas, a funcionalidade PurpleConnex do Purple introduz suporte para Passpoint (IEEE 802.11u), utilizando um servidor RADIUS para uma nova ligação contínua e sem credenciais para utilizadores que regressam. Isto requer a configuração de um perfil RADIUS no UniFi que aponte para o servidor de autenticação do Purple no IP 34.150.158.147, nas portas 1812 (autenticação) e 1813 (accounting).

Guia de Implementação

Esta secção fornece um guia passo a passo para configurar o seu UniFi Network Controller para se integrar com o Purple. As instruções seguintes aplicam-se à versão 7.4 ou mais recente da UniFi Network Application. Para versões antigas (v7.3 e anteriores), os princípios de configuração são idênticos, mas o caminho de navegação difere ligeiramente, utilizando Perfis > Hotspot de Convidados em vez do Gestor de Hotspot.

Passo 1: Verificar e Estabelecer a Acessibilidade do Controlador. Antes de iniciar qualquer configuração, confirme que o seu UniFi Network Controller está acessível a partir da internet pública. A plataforma cloud do Purple deve ser capaz de comunicar com a API do seu controlador para autorizar sessões de convidados. Para controladores UniFi baseados em software, isto requer uma regra de reencaminhamento de portas (port forward) no seu firewall que mapeie a porta TCP 8443 para o endereço IP da LAN interna do controlador. Para implementações baseadas em hardware — incluindo o UniFi Dream Machine Pro (UDM Pro), UDM Special Edition, UDR e CloudKey Gen2+ — a porta relevante é a TCP 443.

Passo 2: Criar uma Conta de Administrador Local Dedicada. Por motivos de higiene de segurança, nunca utilize as credenciais da sua conta principal de super-administrador ou de cloud da Ubiquiti para a integração da API do Purple. Crie uma nova conta de administrador local dedicada no seu controlador UniFi especificamente para este fim. Esta conta deve ter privilégios administrativos totais para o site relevante. A utilização de uma conta dedicada limita o impacto de qualquer potencial comprometimento de credenciais e garante que a integração não seja interrompida por alterações na sua conta principal. Passo 3: Criar o SSID de WiFi de Convidados. Na UniFi Network Application, navegue até Settings > WiFi e clique em Create New. Atribua um nome público (ex. 'Hotel Guest WiFi'). Defina o Security Protocol como Open — isto é obrigatório para que o mecanismo de redirecionamento do Captive Portal funcione. Atribua o SSID à sua VLAN de Convidados designada. Ative a opção Hotspot Portal.

Passo 4: Configurar o Hotspot Portal e o Servidor Externo. Navegue até Hotspot Manager > Landing Page. Em Authentication, selecione External Portal Server e introduza o endereço IP do Portal Externo fornecido pela Purple. Em Settings, configure da seguinte forma: ative Secure Portal, ative Redirect using Hostname e introduza o Access Domain fornecido pela Purple, e certifique-se de que o HTTPS Redirection está definido como Disabled. O campo Default Expiration da sessão deve ser definido para 8 horas.

Passo 5: Configurar o Walled Garden. Nas definições do Hotspot Manager, localize a secção Pre-Authorization Access. Adicione todos os domínios da lista fornecida pela Purple. Esta lista inclui normalmente os domínios da própria plataforma da Purple, domínios de fornecedores de login social (facebook.com, google.com, accounts.google.com), endpoints de deteção do Captive Network Assistant (CNA) da Apple e quaisquer outros serviços de terceiros utilizados na sua splash page. Este passo é a fonte mais comum de falhas de implementação e deve ser concluído com precisão.

Passo 6: Introduzir os Detalhes do Controlador no Portal da Purple. Inicie sessão na sua conta Purple e navegue até às definições do Venue relevante. Introduza o endereço IP público ou hostname do seu UniFi Controller e as credenciais da conta de administrador local dedicada criada no Passo 2. Guarde a configuração. A Purple tentará validar a ligação.

Passo 7: Testar e Validar. Utilizando um dispositivo móvel que não tenha sido ligado anteriormente à rede, ligue-se ao novo SSID de convidados. Deverá ser redirecionado automaticamente para o Captive Portal da Purple. Autentique-se utilizando um dos métodos configurados. Após o sucesso, deverá ser-lhe concedido acesso à internet. Se o redirecionamento falhar ou se o acesso à internet não for concedido após a autenticação, consulte a secção de Resolução de Problemas abaixo.

Boas Práticas

A segmentação de rede é o requisito de segurança fundamental para qualquer implementação de WiFi de convidados. O SSID de convidados deve ser atribuído a uma VLAN dedicada que esteja protegida por firewall de todas as redes corporativas e administrativas. Isto impede que os dispositivos dos convidados acedam a recursos internos, cumpre os requisitos de isolamento de rede PCI DSS e limita o impacto de qualquer incidente de segurança na rede de convidados.

A gestão de largura de banda é igualmente importante em ambientes de alta densidade. A funcionalidade de limitação de taxa por utilizador da UniFi deve ser configurada para definir limites razoáveis de upload e download para utilizadores convidados. Isto evita que um pequeno número de utilizadores de elevada largura de banda degrade a experiência de todos os convidados, o que é particularmente relevante em implementações de hotéis e centros de conferências.

O Walled Garden requer manutenção contínua. Os fornecedores de login social e outros serviços de terceiros atualizam periodicamente as suas estruturas de domínio. Uma revisão trimestral da configuração do Walled Garden, cruzada com a lista de domínios mais recente recomendada pela Purple, é uma prática operacional recomendada. A falha na manutenção desta lista é a principal causa de falhas no portal pós-implantação.

Para a integração da API, utilize sempre uma conta de administrador local dedicada em vez de uma conta associada à nuvem. Esta é tanto uma prática recomendada de segurança como uma medida de fiabilidade — as credenciais de contas na nuvem estão sujeitas a fluxos de autenticação multifator que podem interromper as chamadas de API automatizadas que a Purple realiza para autorizar convidados.

Resolução de Problemas e Mitigação de Riscos

O modo de falha mais comum é um Captive Portal que não carrega. Quando um convidado se liga ao SSID mas não vê qualquer redirecionamento, ou a página do portal não é renderizada, a causa raiz é quase invariavelmente um Walled Garden incompleto. Inicie a resolução de problemas ligando um dispositivo de teste e tentando navegar para um URL HTTP conhecido. Se o redirecionamento ocorrer mas a página não carregar, adicione os domínios em falta ao Walled Garden. Verifique também se o DNS da rede de convidados está configurado corretamente para resolver nomes de anfitriões externos.

A segunda falha mais comum é um cenário em que o convidado se autentica com sucesso no portal Purple mas não lhe é concedido acesso à internet. Isto indica uma falha na comunicação da API entre a Purple e o controlador UniFi. Os passos de diagnóstico são: primeiro, confirmar se o controlador está acessível publicamente na porta correta, tentando aceder-lhe a partir de uma rede externa; segundo, verificar se as credenciais de administrador local introduzidas no portal Purple estão corretas e se a conta não foi bloqueada; terceiro, rever os registos de eventos do controlador UniFi para verificar se existem erros de autenticação da API.

Para implantações em produção, a disponibilidade do controlador é um fator de risco crítico. Se o controlador UniFi ficar offline, as novas autorizações de convidados irão falhar. As estratégias de mitigação incluem a implantação de um controlador UniFi alojado na nuvem (o que proporciona redundância inerente), a implementação de um par de controladores de alta disponibilidade ou a configuração de monitorização e alertas sobre a disponibilidade do controlador. A plataforma da Purple irá colocar as tentativas de autorização em fila e tentar novamente, mas um tempo de inatividade prolongado do controlador resultará numa experiência de convidado degradada.

Do ponto de vista da conformidade, os dados recolhidos através do Captive Portal estão sujeitos ao GDPR e a regulamentos de proteção de dados equivalentes. A plataforma da Purple está arquitetada para a conformidade, fornecendo gestão de consentimento, ferramentas de pedido de acesso do titular dos dados (DSAR) e políticas de retenção de dados configuráveis. No entanto, a responsabilidade legal pelo processamento lícito de dados permanece com o operador do local. Certifique-se de que a sua política de privacidade está claramente ligada na splash page, que possui uma base jurídica documentada para a recolha de dados e que as suas definições de retenção de dados estão alinhadas com a política da sua organização.

ROI e Impacto no Negócio

A integração do Purple com o UniFi não é apenas uma atualização técnica; é uma decisão de negócio estratégica que transforma o WiFi de convidados de um centro de custos num ativo poderoso. O retorno do investimento é mensurável em várias dimensões fundamentais.

A inteligência de negócio é o principal motor de valor. O Purple recolhe dados ricos e anonimizados sobre o comportamento dos visitantes — incluindo fluxo de pessoas, tempos de permanência, frequência de visitas e padrões de movimento. Para uma cadeia de retalho, estes dados podem influenciar diretamente as decisões de layout das lojas, os níveis de pessoal e o timing das promoções. Para um hotel, podem revelar quais as comodidades mais utilizadas e em que horários, permitindo um upselling mais direcionado e maior eficiência operacional.

As capacidades de marketing e envolvimento representam um benefício secundário significativo. Ao recolher os dados de contacto dos convidados com consentimento, as organizações podem construir uma base de dados de marketing de primeira parte que não está sujeita às limitações da depreciação de cookies de terceiros. Campanhas de e-mail pós-visita, inquéritos de satisfação e convites para programas de fidelização podem ser automatizados diretamente a partir da plataforma Purple, gerando melhorias mensuráveis nas taxas de visitas repetidas e no valor do tempo de vida do cliente.

Para grandes recintos, tais como estádios, centros de conferências e centros comerciais, a inteligência operacional derivada de análises de fluxo de pessoas em tempo real e mapas de calor pode gerar ganhos de eficiência significativos — otimizando as escalas de limpeza, a distribuição da segurança e a colocação de concessões de retalho com base em dados reais de movimento dos visitantes, em vez de suposições.

Em certos contextos, a própria infraestrutura de WiFi de convidados pode ser monetizada através de modelos de acesso em níveis, splash pages patrocinadas ou publicidade direcionada, criando uma fonte de receita direta que compensa o custo do investimento na infraestrutura.

Definições Principais

Captive Portal

Uma página web apresentada a utilizadores recém-conectados a uma rede WiFi antes de lhes ser concedido um acesso mais amplo à internet. Controla o acesso, autentica utilizadores e/ou apresenta termos de serviço e conteúdo de marketing.

Numa integração UniFi/Purple, o controlador UniFi redireciona o convidado para o captive portal alojado pela Purple, que gere toda a experiência do convidado, incluindo a autenticação, a recolha de consentimento e o branding.

External Portal Server

Uma opção de configuração do UniFi que delega a experiência do captive portal para uma aplicação web de terceiros, em vez de utilizar o portal integrado do UniFi. O controlador UniFi redireciona os convidados para o URL externo especificado e depende desse sistema para gerir a autenticação e para comunicar de volta com a API do controlador para autorizar o convidado.

Esta é a configuração principal do UniFi que ativa a integração com a Purple. Encontra-se em Hotspot Manager > Landing Page > Authentication no UniFi Network v7.4+.

Walled Garden

Uma lista de permissões (whitelist) de endereços IP, hostnames e domínios que um dispositivo convidado tem permissão para aceder antes de ser autenticado pelo captive portal. O tráfego para destinos fora da lista de permissões é bloqueado até que o convidado conclua o fluxo de autenticação.

Isto é fundamental para permitir que o dispositivo carregue a splash page da Purple, bem como quaisquer recursos de terceiros de que dependa, tais como fornecedores de login social ou gateways de pagamento. Um Walled Garden incompleto é a principal causa de falhas no captive portal.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede (RFC 2865) que fornece uma gestão centralizada de Autenticação, Autorização e Contabilização (AAA) para utilizadores que se ligam a um serviço de rede.

Embora a integração padrão da Purple utilize a API do UniFi para a autorização de convidados, a funcionalidade PurpleConnex (Passpoint) utiliza RADIUS para fornecer uma experiência de ligação mais segura e fluida para utilizadores recorrentes, eliminando a necessidade de se autenticarem novamente através do captive portal.

Passpoint (IEEE 802.11u / Hotspot 2.0)

Um programa de certificação da WiFi Alliance que permite a autenticação automática e segura em redes WiFi sem exigir que o utilizador selecione manualmente uma rede ou introduza credenciais. Os dispositivos com um perfil Passpoint ligam-se de forma automática e segura utilizando autenticação baseada em EAP.

A funcionalidade PurpleConnex da Purple tira partido do Passpoint para proporcionar uma experiência de ligação automática e fluida para convidados recorrentes. Assim que um utilizador se autentica uma vez através do captive portal, as visitas subsequentes podem ligar-se automaticamente sem verem novamente a splash page.

SSID (Service Set Identifier)

O nome público de uma rede local sem fios (WLAN) — o nome da rede que aparece quando um utilizador procura ligações WiFi disponíveis no seu dispositivo.

Para uma integração de rede de convidados, é criado um SSID dedicado com segurança Aberta (Open) e associado ao captive portal. Este é mantido separado do SSID corporativo, que utiliza autenticação WPA2/WPA3-Enterprise.

VLAN (Virtual Local Area Network)

Um método de criação de redes logicamente separadas na mesma infraestrutura de rede física. Os dispositivos em VLANs diferentes não podem comunicar entre si sem um router, proporcionando segmentação de rede e isolamento de segurança.

As boas práticas de segurança e a conformidade com o PCI DSS exigem que o SSID de convidados seja colocado na sua própria VLAN, completamente isolado das redes corporativa, de gestão e de POS. Isto impede que os dispositivos dos convidados acedam a recursos internos.

WISPr (Wireless Internet Service Provider Roaming)

Um protocolo padrão do setor que define como um dispositivo cliente descobre e se autentica num captive portal de um hotspot WiFi. Utiliza redirecionamentos HTTP e mensagens de autenticação baseadas em XML para gerir a interação com o portal.

A funcionalidade de portal externo do UniFi baseia-se nos princípios do WISPr. Compreender este protocolo ajuda os engenheiros de rede a resolver falhas de redirecionamento e a perceber por que razão certos dispositivos clientes (particularmente iOS e Android) se comportam de forma diferente ao ligarem-se a redes com captive portal.

Port Forwarding

Uma técnica de tradução de endereços de rede (NAT) que mapeia uma porta externa num router ou firewall para um endereço IP e porta internos específicos, permitindo que serviços externos iniciem ligações para dispositivos numa rede privada.

Se o seu controlador UniFi estiver alojado numa rede local, deve ser configurada uma regra de port forwarding para permitir que a plataforma cloud da Purple aceda à API do controlador. A porta necessária é a 8443 para controladores de software ou a 443 para controladores baseados em hardware.

PurpleConnex

A implementação da Purple do padrão Passpoint (IEEE 802.11u), que fornece uma ligação WiFi segura e fluida para utilizadores recorrentes através de autenticação EAP-TTLS através de um servidor RADIUS dedicado. Elimina a necessidade de os visitantes recorrentes se autenticarem novamente através do captive portal.

O PurpleConnex requer configuração adicional no UniFi: um perfil RADIUS que aponte para o servidor de autenticação da Purple e um SSID separado com Passpoint ativado. É particularmente valioso em ambientes de hotelaria e retalho, onde os visitantes recorrentes são comuns.

Exemplos Práticos

Um hotel boutique de 250 quartos deseja substituir o seu WiFi de convidados básico e pouco fiável por uma experiência premium e personalizada com a sua marca. Os seus objetivos são recolher os endereços de email dos convidados para marketing pós-estadia, promover o seu spa e restaurante na página de login e garantir uma conectividade sem falhas para convidados com múltiplos dispositivos. A sua infraestrutura consiste num UniFi Dream Machine Pro e 40 pontos de acesso UniFi U6 Pro.

A implementação recomendada integra o UDM Pro com a Purple através do método External Portal Server. É criado um novo SSID 'Hotel Guest WiFi' com segurança Open e atribuído a uma VLAN de Convidados dedicada (ex. VLAN 20), protegida por firewall das redes de gestão e POS do hotel. O Captive Portal (Hotspot Portal) é ativado e configurado para utilizar a Purple como o servidor de portal externo. Como o UDM Pro utiliza a porta 443, é criada uma regra de reencaminhamento de portas na interface WAN do UDM Pro, mapeando o TCP 443 para o IP LAN do UDM Pro. É criada uma conta de administrador local dedicada ('purple-api') no UDM Pro com privilégios totais de site. No portal Purple, é desenhada uma splash page personalizada com a marca, apresentando o logótipo do hotel, um formulário simples de recolha de email com caixa de consentimento do GDPR e um banner em destaque a publicitar o spa com um link de reserva direta. O Walled Garden é configurado para incluir todos os domínios da Purple, Facebook, Google e endpoints Apple CNA. A equipa de marketing do hotel recebe acesso ao painel de analítica da Purple, permitindo-lhes monitorizar a contagem diária de convidados, horas de pico de ligação e taxas de recolha de emails. No primeiro trimestre, o hotel recolhe uma média de 180 novos endereços de email por semana, que são sincronizados automaticamente com o seu CRM para automatização de campanhas pós-estadia.

Comentário do Examinador: Esta solução aborda corretamente todos os requisitos. A escolha de um Captive Portal externo em vez do portal integrado da UniFi é a única abordagem viável para alcançar o nível exigido de personalização de marca, recolha de dados e integração com CRM. A decisão de utilizar uma conta de administrador local dedicada ('purple-api') em vez do super-administrador principal é uma prática recomendada de segurança crítica — limita o âmbito do acesso à API e garante que a integração não seja interrompida por alterações na conta principal. A segmentação por VLAN protege os sistemas de POS e gestão do hotel do tráfego da rede de convidados, o que é um requisito PCI DSS. A configuração da porta 443 para o UDM Pro é um ponto comum de confusão para engenheiros habituados a controladores de software; esta distinção deve ser claramente compreendida antes da implementação.

Uma cadeia de retalho com 20 lojas no Reino Unido, cada uma equipada com APs UniFi geridos por um único controlador UniFi alojado na nuvem, deseja utilizar os dados do WiFi de convidados para compreender o comportamento dos clientes. O diretor de operações necessita de medir a afluência, o tempo de permanência e as taxas de visitantes recorrentes em todas as lojas para informar um programa de redesenho do layout das lojas e avaliar o desempenho das campanhas promocionais em loja.

O controlador UniFi alojado na nuvem já possui um hostname público, pelo que não é necessário reencaminhamento de portas — o que simplifica significativamente a implementação. Um único SSID de convidados ('Brand WiFi') é configurado e aplicado a todos os 20 sites através das capacidades de gestão de sites do controlador UniFi. O Captive Portal (Hotspot Portal) é configurado para utilizar o servidor de portal externo da Purple. No portal Purple, cada uma das 20 lojas é configurada como um local (venue) separado, permitindo uma analítica granular ao nível da loja. A splash page é desenhada para a máxima adesão: um único botão 'Ligar' com um breve aviso de privacidade, minimizando a fricção. Na plataforma de analítica da Purple, o diretor de operações pode visualizar um painel comparativo que mostra a afluência, o tempo de permanência e os rácios de visitantes novos vs. recorrentes para cada loja. Após 90 dias de recolha de dados, a analítica revela que três lojas têm tempos de permanência significativamente mais elevados do que as outras, correlacionando-se com um layout de loja específico. Esta informação informa diretamente o programa de redesenho de layout, com o layout de alto desempenho a ser implementado nas 20 lojas. É executada uma campanha promocional em todas as lojas em simultâneo, e o painel da Purple fornece uma comparação clara de antes e depois da afluência e do tempo de permanência, demonstrando um aumento mensurável da campanha.

Comentário do Examinador: Este cenário destaca o poder de uma implementação Purple centralizada e multi-local. A decisão arquitetónica fundamental é a utilização de um único controlador UniFi alojado na nuvem, o que elimina a complexidade do reencaminhamento de portas presente em implementações locais e fornece um único ponto de gestão para todos os 20 sites. O design da splash page com ligação de 'um clique' e baixa fricção é a escolha correta para um ambiente de retalho onde o objetivo principal é maximizar o volume de recolha de dados — um formulário de login complexo reduziria significativamente as taxas de adesão. A separação de cada loja como um local distinto na Purple é essencial para gerar informações acionáveis ao nível da loja, em vez de dados agregados que ocultam as diferenças de desempenho entre localizações.

Perguntas de Prática

Q1. O gestor de TI de um hotel concluiu a configuração da integração UniFi/Purple e testou-a com sucesso no escritório. No entanto, após a implementação no ambiente real do hotel, os hóspedes relatam que a página do Captive Portal carrega, mas o botão 'Login com Facebook' não funciona. Qual é a causa mais provável e como deve ser resolvida?

Dica: Considere quais os recursos que o botão de login do Facebook precisa de carregar e funcionar, e se esses recursos estão acessíveis a um dispositivo convidado antes da autenticação.

Ver resposta modelo

A causa mais provável é que os domínios de login do Facebook não estão incluídos no Walled Garden (lista de acesso pré-autorização). Quando o dispositivo de um convidado está no estado 'pendente', apenas consegue aceder a domínios explicitamente autorizados no Walled Garden. O fluxo de login do Facebook requer acesso a facebook.com, fbcdn.net e domínios relacionados. A resolução consiste em adicionar todos os domínios do Facebook necessários ao Walled Garden nas definições do UniFi Hotspot Manager. A Purple fornece uma lista atualizada dos domínios necessários para cada fornecedor de login social. Após atualizar o Walled Garden, teste novamente o fluxo de login do Facebook com uma nova ligação de dispositivo.

Q2. Um arquiteto de rede está a planear uma implementação de WiFi para convidados num centro de conferências de 5.000 lugares que irá acolher eventos com até 3.000 utilizadores de WiFi simultâneos. O local utiliza um controlador UniFi baseado em software, alojado num servidor na sala de servidores do espaço. Quais são as três considerações de infraestrutura mais críticas para garantir que a integração com a Purple permaneça fiável durante os picos de eventos?

Dica: Pense nos pontos únicos de falha na arquitetura de integração — o que acontece se o controlador ficar offline, se a ligação à internet estiver saturada ou se o hardware do controlador tiver pouca potência?

Ver resposta modelo

As três considerações mais críticas são: Primeiro, a disponibilidade e o desempenho do controlador — o controlador UniFi é um componente crítico em cada autorização de convidado. Com 3.000 utilizadores simultâneos, o controlador deve ter CPU e RAM suficientes para lidar com a carga. Considere atualizar para um servidor de especificações elevadas ou migrar para um controlador alojado na nuvem para obter redundância inerente. Segundo, a conectividade à internet e a fiabilidade do reencaminhamento de portas — as chamadas de API da Purple para o controlador devem atravessar a ligação à internet do local. Certifique-se de que a regra de reencaminhamento de portas está num firewall resiliente e que a ligação à internet tem capacidade suficiente. Recomenda-se uma ligação secundária à internet com failover automático para eventos de missão crítica. Terceiro, a gestão de largura de banda — com 3.000 utilizadores, implemente limites estritos de taxa por utilizador no UniFi para evitar a exaustão da largura de banda. Sem limitação de taxa, um pequeno número de utilizadores com elevado consumo de largura de banda pode degradar a experiência de todos os convidados.

Q3. A equipa jurídica de uma cadeia de retalho pediu ao gestor de TI para garantir que a recolha de dados de WiFi de convidados está em total conformidade com o GDPR. A splash page atual tem um botão simples de 'Ligar' sem qualquer mecanismo de consentimento explícito. Que alterações devem ser feitas na configuração da Purple e que processos operacionais contínuos devem ser implementados?

Dica: O GDPR exige uma base legal para o processamento de dados pessoais, transparência sobre como os dados serão utilizados e mecanismos para que os titulares dos dados exerçam os seus direitos.

Ver resposta modelo

São necessárias as seguintes alterações e processos: Na splash page, o botão 'Ligar' deve ser substituído por um mecanismo de consentimento explícito (opt-in). Isto significa adicionar uma caixa de seleção de consentimento claramente redigida (desmarcada por defeito) que indique quais os dados que estão a ser recolhidos, como serão utilizados e com quem serão partilhados. Deve ser exibido de forma proeminente um link para a política de privacidade completa. A base legal para o processamento deve ser o consentimento explícito para comunicações de marketing e o interesse legítimo para análises anonimizadas. No portal da Purple, configure as definições de retenção de dados para alinhar com a política de retenção de dados da organização — normalmente não superior a 24 meses para dados de marketing. Ative as ferramentas de GDPR da Purple para gerir pedidos de acesso a dados (DSARs) e pedidos de direito ao esquecimento. Operacionalmente, implemente um processo de revisão trimestral para garantir que a política de privacidade permanece precisa, que a redação do consentimento está atualizada e que as definições de retenção de dados são aplicadas. Mantenha um registo das atividades de processamento (ROPA) para a recolha de dados de WiFi de convidados.

Q4. Um engenheiro de rede configurou a integração UniFi/Purple seguindo todos os passos documentados. Ao testar, o dispositivo convidado liga-se ao SSID e é redirecionado para o portal da Purple. O convidado autentica-se com sucesso, mas não lhe é concedido acesso à internet. O portal da Purple mostra a autenticação como bem-sucedida. Qual é o processo de diagnóstico?

Dica: Se a Purple mostrar uma autenticação bem-sucedida mas o convidado não tiver acesso à internet, o problema reside no caminho de comunicação entre a Purple e o controlador UniFi.

Ver resposta modelo

Este sintoma indica que a chamada de API da Purple para o controlador UniFi — a chamada que move o dispositivo convidado de 'pendente' para 'autorizado' — está a falhar. O processo de diagnóstico é o seguinte: Primeiro, verifique se o controlador UniFi está acessível publicamente na porta correta (8443 para software, 443 para hardware), tentando aceder à interface de gestão do controlador a partir de uma rede externa ou utilizando uma ferramenta online de verificação de portas. Segundo, inicie sessão no portal da Purple e verifique se o IP/hostname do controlador e as credenciais de administrador local estão corretos. Um erro comum é introduzir o IP da LAN interna do controlador em vez do seu IP público, ou utilizar credenciais de conta na nuvem em vez de credenciais de administrador local. Terceiro, verifique o registo de eventos do controlador UniFi para identificar quaisquer erros de autenticação de API ou tentativas de login falhadas a partir dos endereços IP da Purple. Quarto, verifique se a regra de firewall ou o reencaminhamento de portas estão corretamente configurados e se os endereços IP de origem da Purple não estão a ser bloqueados por nenhum dispositivo de segurança a montante.

Continue a ler esta série

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.

Integração de Pontos de Acesso Grandstream GWN com o Purple WiFi

Este guia de referência técnica detalha como integrar os pontos de acesso Grandstream GWN com a plataforma de Guest WiFi e analítica da Purple. Abrange a configuração do Captive Portal da Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas e passo a passo para MSPs e equipas de TI que implementam WiFi para convidados e funcionários em grande escala.