Saltar para o conteúdo principal

Integrar a Iniciação de Sessão de WiFi do WeChat: Capturar o Compromisso através de Portais Cativos Sociais

Este guia detalha como integrar a autenticação de WiFi do WeChat em portais cativos empresariais, abrangendo a arquitetura OAuth 2.0, a integração RADIUS e a implementação passo a passo em hardware Cisco Meraki, HPE Aruba e Juniper Mist. Fornece aos gestores de TI e arquitetos de rede uma estrutura prática para capturar dados de primeira entidade dos 1,3 mil milhões de utilizadores do WeChat, impulsionando o compromisso através de seguidores na Conta Oficial e redirecionamentos pós-iniciação de sessão.

📖 8 min de leitura📝 1,875 palavras🔧 2 exemplos práticos4 perguntas de prática📚 10 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Briefing Técnico Purple. Sou o vosso anfitrião e hoje vamos aprofundar uma integração crítica para locais que pretendem captar o envolvimento de um grupo demográfico massivo: Integrar o Login WeChat WiFi através de Captive Portals Sociais. Se é gestor de TI, arquiteto de rede ou diretor de operações num hotel, cadeia de retalho ou local público, conhece bem o desafio. Pretende oferecer um WiFi para convidados sem fricção, mas a sua equipa de marketing exige dados primários. Os formulários de registo manual causam desistências e os logins sociais genéricos nem sempre são eficazes para visitantes internacionais, particularmente os da China, onde o WeChat é o ecossistema digital dominante. É aí que entra a autenticação WeChat WiFi. Esta transforma um Captive Portal padrão numa ferramenta estratégica de captura de dados. Hoje, vamos detalhar a arquitetura técnica, os passos de implementação e as armadilhas comuns que precisa de evitar. Comecemos pela arquitetura. Como é que isto funciona na realidade? A autenticação WeChat WiFi substitui a tradicional introdução manual de formulários por um fluxo OAuth 2.0 integrado diretamente na experiência do Captive Portal. Quando um convidado se liga à sua rede WiFi, o seu ponto de acesso ou controlador de LAN sem fios intercepta o tráfego e redireciona o utilizador para um Captive Portal alojado na Purple Cloud Platform. Em vez de introduzir um endereço de e-mail, o utilizador seleciona a opção de login do WeChat. Isto despoleta uma chamada de API para a plataforma aberta do WeChat. O utilizador autoriza a ligação dentro da sua aplicação WeChat, e o WeChat devolve um token de acesso e dados de perfil do utilizador - como OpenID, unionid, alcunha e avatar - para a plataforma Purple. A Purple sinaliza então o seu servidor RADIUS para enviar uma mensagem Access-Accept para o hardware da sua rede, concedendo acesso à Internet e aplicando quaisquer políticas configuradas, como limites de largura de banda ou atribuição de VLAN. É um handshake seguro e contínuo entre cinco sistemas distintos, tudo a acontecer em menos de três segundos na perspetiva do utilizador. Agora, o que precisa para que isto aconteça? Existem quatro componentes fundamentais. Primeiro, a Conta Oficial WeChat. Deve possuir uma Conta de Serviço WeChat verificada, conhecida em chinês como Fuwuhao. As contas de subscrição carecem das permissões de API necessárias para a integração OAuth. Este é um requisito obrigatório. A Conta de Serviço fornece o AppID e o AppSecret necessários para a comunicação de API. Segundo, o próprio Captive Portal. Esta é a splash page personalizada que intercepta a sessão e apresenta o botão de login do WeChat. Tem de ser reativa em dispositivos móveis e capaz de processar corretamente o URI de redirecionamento OAuth. Terceiro, Gestão de Identidades e Acessos. A plataforma Purple funciona aqui como intermediária, gerindo a troca de tokens OAuth, mapeando os dados de perfil do WeChat para o seu CRM e lidando com a comunicação RADIUS. Esta é a camada de inteligência que liga o ecossistema WeChat à sua infraestrutura de rede. E em quarto lugar, o seu Hardware de Rede. Pontos de acesso empresariais de fabricantes como a Cisco Meraki, HPE Aruba ou Juniper Mist, configurados para redirecionar o tráfego não autenticado para o Captive Portal externo e aplicar os atributos de autorização RADIUS. Então, como implementamos isto? É um processo de três etapas. Etapa Um: Configurar a Conta de Programador WeChat. Terá de ativar a funcionalidade de autorização de página Web OAuth 2.0 na Plataforma de Conta Oficial WeChat. Registe o domínio do seu Captive Portal como o domínio de callback autorizado. Isto garante que o WeChat apenas envia códigos de autorização para a sua infraestrutura fidedigna. Em seguida, obtenha o seu AppID e AppSecret. Etapa Dois: Configurar a Plataforma Purple. Navegue até à configuração de métodos de autenticação, ative o início de sessão social com o WeChat e insira o seu AppID e AppSecret. Desenhe a sua splash page para dar destaque ao início de sessão com o WeChat. E, de forma crítica, configure os seus redirecionamentos pós-autenticação. Não envie apenas os utilizadores para uma página genérica de sucesso. Redirecione-os para o perfil da sua Conta Oficial WeChat para incentivar novos seguidores, ou para uma landing page promocional direcionada. Etapa Três: Configuração da Infraestrutura de Rede. No seu controlador sem fios, configure o SSID de convidados para autenticação externa com Captive Portal. Insira o URL do Captive Portal da Purple. E aqui está a etapa de configuração mais importante: configure as entradas do walled garden, ou lista de permissões. Deve colocar os domínios e gamas de IP da API do WeChat na lista de permissões para que o dispositivo do utilizador consiga comunicar com o WeChat antes de estar totalmente autenticado na rede. Se falhar esta etapa, todo o fluxo será interrompido. Agora vamos falar sobre as melhores práticas e resolução de problemas. O que costuma falhar e como pode evitá-lo? Acabei de mencionar o walled garden. Um walled garden mal configurado é a causa número um de falhas nos inícios de sessão do WeChat em ambientes de produção. Se o dispositivo não conseguir comunicar com os servidores do WeChat antes da autenticação, o fluxo OAuth não pode ser iniciado. Certifique-se de que todos os domínios necessários do WeChat estão acessíveis antes da autenticação. Teste isto exaustivamente antes de avançar para a produção. Outro problema comum é o Erro de Correspondência do Redirecionamento OAuth (OAuth Redirect Mismatch). Se o URL de callback registado no WeChat não corresponder exatamente ao URL do seu Captive Portal, o WeChat irá bloquear a autorização. Os protocolos e subdomínios devem corresponder perfeitamente. HTTPS versus HTTP, com ou sem barra final - estes detalhes são cruciais. Tenha também atenção à interferência do Assistente do Captive Portal. Os sistemas operativos móveis utilizam estes mini-navegadores para gerir redes cativas, mas estes carecem frequentemente de funcionalidades completas e podem interferir com a chamada da aplicação WeChat. Poderá ser necessário implementar um script de deteção JavaScript para forçar o início de sessão no navegador nativo do sistema. Do lado estratégico, não desperdice o envolvimento pós-login. Direcione os utilizadores para seguirem a sua Conta Oficial, acederem a um mapa interior ou visualizarem um menu digital. Mantenha-os envolvidos dentro do ecossistema WeChat. E sobre a minimização de dados: solicite apenas os dados de perfil do WeChat necessários para os seus objetivos de marketing. Solicitar permissões em excesso aumenta as taxas de abandono e complica a conformidade com a privacidade. Falando em conformidade, a recolha de dados através do WeChat deve cumprir as leis de privacidade regionais, incluindo o GDPR na Europa e a Lei de Proteção de Informações Pessoais na China. Certifique-se de que os termos de serviço do seu Captive Portal articulam claramente quais os dados recolhidos, como são utilizados e com quem são partilhados. Implemente mecanismos de consentimento explícito antes de iniciar o fluxo OAuth. Agora, uma rápida sessão de perguntas e respostas sobre as questões que ouvimos com mais frequência. Pergunta: Posso utilizar uma Conta de Subscrição do WeChat? Não. Precisa de uma Conta de Serviço verificada. Ponto final. Pergunta: Preciso de colocar os domínios do WeChat na whitelist de todos os pontos de acesso? Sim. O walled garden deve ser configurado ao nível do SSID no controlador de rede sem fios. Pergunta: Durante quanto tempo é que o WeChat mantém o token de acesso válido? Os tokens de acesso do WeChat expiram após duas horas. Certifique-se de que a sua plataforma está configurada para os atualizar automaticamente. Pergunta: Que dados obtenho efetivamente do WeChat? Recebe o OpenID do utilizador, o respetivo unionid se tiver autorizado várias aplicações, o seu nome de utilizador, o URL da imagem de perfil e a cidade e país de registo. Não recebe o seu número de telefone ou endereço de email diretamente do WeChat. Assim, para concluir, aqui estão as cinco principais conclusões da sessão de hoje. Primeira: A autenticação WiFi do WeChat utiliza OAuth 2.0 para substituir a introdução manual de formulários por um login com um único toque, aumentando as taxas de conclusão em 20 a 30 por cento. Segunda: É obrigatória uma Conta de Serviço do WeChat verificada. As contas de subscrição não funcionam. Terceira: A configuração do walled garden nos seus pontos de acesso é o passo mais crítico e mais comummente esquecido. Quarta: Os redirecionamentos pós-autenticação para a sua Conta Oficial convertem visitantes transitórios em seguidores digitais de longo prazo. E quinta: Certifique-se de que o seu consentimento e divulgações de privacidade cobrem tanto os requisitos do GDPR como os da PIPL antes de entrar em produção. Esta foi a sessão técnica sobre a integração de login WiFi com WeChat. Para saber mais sobre estratégia de WiFi de convidados, análise e conformidade, visite purple dot ai. Obrigado por ouvir.

header_image.png

Resumo Executivo

A integração do login de WeChat WiFi transforma um Captive Portal padrão num motor estratégico de dados primários (first-party) para visitantes chineses e o ecossistema WeChat em geral. Para gestores de TI e arquitetos de rede, a implementação do login do WeChat via OAuth 2.0 e RADIUS exige o equilíbrio entre um acesso de convidados sem atritos e uma recolha de dados segura e em conformidade. Este guia detalha a arquitetura técnica, as etapas de implementação e as considerações de segurança para implementar a autenticação WeChat WiFi em hardware de rede empresarial, incluindo Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist. Demonstra como a plataforma de Guest WiFi da Purple faz a mediação do fluxo OAuth, mapeia os dados de perfil para o seu CRM e impulsiona o engagement através de redirecionamentos pós-login para a sua Conta Oficial WeChat.

O WeChat tem mais de 1,3 mil milhões de utilizadores ativos mensais e os dados da Organização Mundial de Turismo indicam que os viajantes chineses deveriam gastar 255 mil milhões de dólares internacionalmente em 2023. Para hotéis, retalho de luxo, aeroportos e centros de conferências, oferecer o login WeChat WiFi é um canal direto para esse grupo demográfico. A Purple opera em mais de 80.000 locais ativos e registou 440 milhões de logins em 2024, proporcionando-nos uma visão direta sobre o que funciona e o que falha em implementações de produção.


Análise Técnica Detalhada

Como Funciona a Autenticação WeChat WiFi

A autenticação WeChat WiFi substitui a introdução manual de formulários por um fluxo OAuth 2.0 integrado diretamente na experiência do Captive Portal. A sequência envolve cinco componentes que comunicam numa ordem definida:

  1. O dispositivo do convidado liga-se ao SSID do local.
  2. O ponto de acesso (AP) intercepta o tráfego HTTP não autenticado e redireciona o dispositivo para um Captive Portal alojado pela Purple.
  3. O utilizador seleciona a opção de login WeChat na página do portal.
  4. O portal inicia um pedido de autorização OAuth 2.0 para a API de plataforma aberta do WeChat, transmitindo o AppID do local e o URI de redirecionamento.
  5. O cliente WeChat abre no dispositivo e solicita ao utilizador que autorize a ligação.
  6. O WeChat devolve um código de autorização para o URI de redirecionamento.
  7. A plataforma Purple troca o código de autorização por um token de acesso e recolhe os dados de perfil do utilizador: OpenID, unionid, alcunha, avatar e localização registada.
  8. A Purple sinaliza o servidor RADIUS para enviar uma mensagem Access-Accept para o ponto de acesso.
  9. O ponto de acesso concede acesso à Internet e aplica as políticas configuradas (atribuição de VLAN, limites de largura de banda, tempo limite de sessão).
  10. O portal redireciona o utilizador para a Conta Oficial WeChat do local ou para uma página de destino personalizada.authentication_flow_diagram.png

Requisitos do Tipo de Conta

Este é o ponto de falha único mais comum nas implementações de WeChat WiFi. Deve utilizar uma Conta de Serviço (服务号) do WeChat verificada. As Contas de Assinatura não expõem as APIs de autorização web OAuth 2.0 necessárias para a integração com o Captive Portal. A tabela abaixo resume as principais diferenças:

Funcionalidade Conta de Serviço Conta de Assinatura
Login WiFi via OAuth 2.0 Sim Não
Nível de acesso à API Total Restrito
Mensagens push por mês 4 30
Posicionamento na lista de chat Sim (como contacto) Não (agrupada na pasta de assinaturas)
Integração com WeChat Pay Sim Não
Verificação necessária Sim Sim

A obtenção de uma Conta de Serviço verificada requer uma licença comercial chinesa ou um processo especial de candidatura no estrangeiro através da Tencent, o qual acarreta uma taxa de verificação anual de $99 e um período de análise de duas a quatro semanas.

O Walled Garden: A Configuração de Rede Mais Crítica

O walled garden (também conhecido como lista de permissões de pré-autenticação) define os endereços IP e domínios em que um dispositivo pode navegar antes de concluir a autenticação no Captive Portal. Se os domínios da API do WeChat não estiverem no walled garden, o dispositivo não conseguirá iniciar o handshake OAuth, e o login falhará silenciosamente em segundo plano.

No mínimo, os seguintes domínios devem ser incluídos na lista de permissões:

  • *.weixin.qq.com
  • *.wechat.com
  • *.wx.qq.com
  • res.wx.qq.com
  • mp.weixin.qq.com
  • As gamas de IP do CDN do WeChat (consulte a documentação de gamas de IP publicada pela Tencent, pois estas mudam periodicamente)

No Cisco Meraki, configure isto em Wireless > Access Control > Walled Garden. No HPE Aruba, utilize a lista de permissões do Captive Portal Profile. No Juniper Mist, configure a lista de domínios permitidos do Guest Portal.

Integração RADIUS e Aplicação de Políticas

Nesta arquitetura, o Purple opera como um proxy RADIUS. Após uma troca bem-sucedida de OAuth do WeChat, o Purple envia uma mensagem RADIUS Access-Accept para o controlador sem fios do local. A mensagem Access-Accept pode conter atributos RADIUS padrão para aplicar políticas por utilizador:

  • Tunnel-Type e Tunnel-Private-Group-ID para atribuição de VLAN (isolando o tráfego de convidados da rede corporativa, em conformidade com as melhores práticas de segmentação IEEE 802.1X)
  • Session-Timeout para desconexão automática após um período definido
  • WISPr-Bandwidth-Max-Up e WISPr-Bandwidth-Max-Down para limitação de largura de banda

A arquitetura é independente de hardware. O Purple integra-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet sem alterações de firmware ou servidores locais. venue_deployment_overview.png


Guia de Implementação

Passo 1: Configurar a Conta de Programador WeChat

Inicie sessão na Plataforma de Contas Oficiais WeChat (mp.weixin.qq.com). Navegue para Definições e Desenvolvimento > Centro de Segurança > Domínios de Autorização Web. Ative a autorização web OAuth 2.0 e adicione o domínio do seu Captive Portal como um domínio de retorno de chamada autorizado (por exemplo, wifi.yourvenue.com). O WeChat apenas devolverá códigos de autorização para domínios aqui registados - uma incompatibilidade causa falhas silenciosas.

Obtenha o seu AppID e AppSecret no painel Definições e Desenvolvimento > Configuração Básica. Guarde o AppSecret de forma segura; trate-o como uma chave privada.

Passo 2: Configurar o Purple

No portal Purple, navegue para Autenticação > Login Social e ative o WeChat. Introduza o AppID e o AppSecret. Desenhe a splash page do Captive Portal utilizando o editor drag-and-drop do Purple. Posicione o botão de login do WeChat como a principal chamada para ação (CTA) acima da dobra.

Configure o redirecionamento pós-autenticação. As opções incluem:

  • A página de seguimento da Conta Oficial WeChat do local (recomendada para engagement)
  • Uma landing page promocional alojada num Mini Programa WeChat
  • Uma página de inquérito utilizando as ferramentas de WiFi Analytics do Purple
  • Uma página de inscrição em programas de fidelização

Ative a colocação em cache de endereços MAC em Autenticação > Definições de Visitantes Recorrentes. Defina a duração da cache para corresponder à sua frequência de visita típica (recomenda-se 7 dias para retalho, 30 dias para hotéis). Os visitantes recorrentes ligam-se automaticamente sem verem o portal novamente, embora a sua visita continue a ser registada no painel de analytics.

Passo 3: Configurar o Hardware de Rede

No seu controlador sem fios, configure o SSID de convidados para utilizar um Captive Portal externo. Introduza o URL do portal Purple como o URL da splash page. Adicione os domínios do WeChat ao walled garden. Defina o endereço IP do servidor RADIUS e o segredo partilhado fornecidos pelo Purple.

Antes de entrar em produção, teste o fluxo completo com um dispositivo móvel. Especificamente:

  1. Ligue-se ao SSID de convidados.
  2. Confirme que o Captive Portal carrega no mini-browser do Captive Portal Assistant (CPA).
  3. Toque no botão de login do WeChat e confirme que o cliente WeChat se abre.
  4. Autorize a ligação e confirme que o acesso à internet é concedido.
  5. Confirme que o redirecionamento pós-login é executado corretamente.

Boas Práticas

Otimize o walled garden. Um walled garden mal configurado é a principal causa de falhas de login do WeChat em produção. Teste antes do lançamento e volte a testar após qualquer atualização de firmware de rede, uma vez que alguns controladores repõem as entradas da lista de permissões durante as atualizações.

Impulsione o envolvimento pós-login. O momento após a autenticação é o ponto de maior atenção na experiência de WiFi de convidados. Redirecione os utilizadores para a página de seguimento da sua Conta Oficial. Os visitantes que seguem a sua conta permanecem acessíveis através de notificações push muito depois de saírem do local.

Implemente o MAC caching para visitantes recorrentes. Exigir uma autenticação repetida a cada visita degrada a experiência. O MAC caching remove a fricção para os visitantes recorrentes, ao mesmo tempo que regista a visita para fins analíticos. Consulte o WiFi Analytics da Purple para relatórios de tempo de permanência e visitas recorrentes.

Aplique a minimização de dados. Solicite apenas os campos de perfil do WeChat que o seu CRM realmente utiliza. Solicitar permissões desnecessárias aumenta a desistência na autorização e adiciona complexidade de conformidade com o GDPR. Para a maioria dos locais, o OpenID, o pseudónimo e o avatar são suficientes para a personalização.

Isole o tráfego de convidados via VLANs. Atribua os convidados autenticados via WeChat a uma VLAN dedicada, isolada das suas redes corporativas ou de POS. Isto cumpre os requisitos de isolamento de rede PCI DSS e limita o raio de ação de qualquer incidente de segurança do lado do convidado. Para uma abordagem completa à arquitetura de segurança WiFi, consulte o nosso guia de segurança WiFi corporativa .

Cumpra o GDPR e a PIPL. Apresente um aviso de privacidade claro na splash page antes de o utilizador iniciar o fluxo de OAuth do WeChat. O aviso deve identificar o responsável pelo tratamento de dados, listar as categorias de dados recolhidos do WeChat, indicar a base jurídica para o processamento e ligar para a política de privacidade completa. Para orientações detalhadas, consulte o nosso guia de conformidade WiFi GDPR .

-

Resolução de Problemas e Mitigação de Riscos

Desajuste de Redirecionamento de OAuth

Se o URL de callback registado na consola de programador do WeChat não corresponder exatamente ao URL que a Purple utiliza para o redirecionamento, o WeChat devolve um código de erro e bloqueia a autorização. Verifique se existem desajustes de protocolo (HTTP vs HTTPS), barras finais e diferenças de subdomínio. O domínio registado deve corresponder exatamente à string.

Interferência do Captive Portal Assistant (CPA)

Os sistemas operativos móveis utilizam mininavegadores CPA para detetar e gerir redes de Captive Portal. Estes mininavegadores muitas vezes não têm a capacidade de abrir aplicações nativas, o que quebra a transição para a aplicação WeChat no fluxo de OAuth. As mitigações incluem:

  • Implementar um redirecionamento em JavaScript que detete o ambiente do CPA e abra o navegador completo do sistema antes de iniciar o fluxo de OAuth.
  • Apresentar instruções claras na splash page a indicar aos utilizadores que devem abrir a página num navegador completo se o botão do WeChat não responder.

Expiração de Token e Sessões Desatualizadas

Os tokens de acesso do WeChat expiram após duas horas. Se a sua plataforma não atualizar o token, o registo de CRM do utilizador deixa de ser atualizado após a sessão inicial. Configure as definições de atualização de token do Purple para manter um token ativo durante a visita do convidado.

Risco Geopolítico e Regulatório

O WeChat está sujeito à regulamentação do governo chinês e à política da plataforma Tencent. O acesso à API pode ser suspenso ou modificado sem aviso prévio. Para mitigar este risco, garanta que o seu Captive Portal suporta múltiplos métodos de autenticação (e-mail, SMS, outros logins sociais) para que uma interrupção da API do WeChat não coloque toda a sua rede WiFi de convidados offline. Os portais multi-canal do Purple suportam nativamente esta arquitetura de recurso.


ROI e Impacto no Negócio

A implementação da autenticação WiFi via WeChat proporciona retornos mensuráveis em três dimensões.

Taxas de captura de dados mais elevadas. O login social elimina a fricção do preenchimento de formulários. Os locais que utilizam as opções de login social do Purple reportam taxas de conclusão de autenticação 20 a 30% superiores às de portais comparáveis apenas com e-mail (dados internos do Purple, 2024). Num local que processa 500 ligações WiFi de convidados por dia, um aumento de 25% significa mais 125 perfis verificados capturados diariamente.

Crescimento de seguidores da Conta Oficial. O redirecionamento de utilizadores autenticados para a página de seguimento da Conta Oficial converte a afluência transitória numa audiência digital contactável. Um hotel com 200 visitantes autenticados via WeChat por dia que atinja uma taxa de seguimento de 40% ganha 80 novos seguidores da Conta Oficial diariamente - seguidores que podem receber notificações push segmentadas sobre ofertas de regresso, atualizações do programa de fidelização e promoções sazonais.

Visibilidade operacional. A plataforma de WiFi Analytics do Purple correlaciona as sessões autenticadas via WeChat com o tempo de permanência, a frequência de visitas e os dados de movimento ao nível da zona. Isto fornece aos diretores de operações dos locais os dados necessários para otimizar o pessoal, o layout e o timing promocional. Para locais de hospitality , estes dados integram-se diretamente com os sistemas PMS para enriquecer os perfis dos convidados.

Para ambientes de retail , a autenticação WeChat combinada com a plataforma de analytics do Purple replica a riqueza de dados de nível de e-commerce num ambiente de loja física - uma capacidade que se torna cada vez mais valiosa à medida que a depreciação de cookies de terceiros reduz a eficácia do retargeting digital.


Para orientações relacionadas, consulte o nosso guia de conformidade com o GDPR de WiFi e o nosso guia de segurança de WiFi empresarial . Para saber como a Purple se implementa em setores específicos, consulte as nossas páginas de hotelaria , retalho , saúde e transportes .

Definições Principais

OAuth 2.0

Um protocolo de autorização padrão da indústria que permite a um utilizador conceder a uma aplicação de terceiros acesso aos dados da sua conta noutro serviço sem partilhar a sua palavra-passe. Na autenticação de WiFi do WeChat, o Captive Portal é a aplicação de terceiros e o WeChat é o fornecedor de identidade.

O mecanismo subjacente para todas as iniciações de sessão de WiFi social. As equipas de TI deparam-se com este mecanismo ao configurar o AppID, o AppSecret e o URI de redirecionamento na consola de programador do WeChat e na plataforma Purple.

Captive Portal

Uma página web que interpeta o tráfego de rede de um dispositivo e exige que o utilizador autorize ou aceite os termos antes de conceder acesso à internet. Funciona redirecionando todos os pedidos HTTP para o URL do portal até que a autenticação esteja concluída.

O componente voltado para o utilizador do sistema de login WeChat WiFi. A Purple aloja e gere o Captive Portal como uma sobreposição em nuvem no topo do hardware existente do espaço.

Walled garden

Uma lista branca de pré-autenticação de endereços IP e domínios que um dispositivo pode alcançar antes de concluir o login no Captive Portal. Necessário para permitir que o dispositivo comunique com os servidores de autenticação do WeChat durante o fluxo OAuth.

O elemento configurado incorretamente com mais frequência em implementações WeChat WiFi. Deve ser configurado ao nível do SSID no controlador sem fios.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece autenticação, autorização e contabilização centralizadas para acesso à rede. Após uma troca de OAuth do WeChat bem-sucedida, a Purple envia uma mensagem RADIUS Access-Accept para o ponto de acesso para conceder acesso à internet.

O protocolo que liga a plataforma de identidade Purple ao hardware de rede do espaço. As equipas de TI configuram os endereços IP do servidor RADIUS e os segredos partilhados no controlador sem fios.

WeChat Service Account (服务号)

Uma categoria de Conta Oficial do WeChat concebida para empresas, oferecendo acesso total à API, incluindo autorização de página web OAuth 2.0. Aparece como um contacto na lista de conversas do utilizador. Requer registo comercial na China ou verificação no estrangeiro.

O tipo de conta obrigatório para o login WeChat WiFi. As contas de subscrição não podem ser utilizadas para esta finalidade.

OpenID

Um identificador exclusivo atribuído pelo WeChat a um utilizador específico para uma Conta Oficial específica. Duas Contas Oficiais diferentes receberão OpenIDs diferentes para o mesmo utilizador.

A chave primária utilizada pelo CRM para identificar e monitorizar utilizadores individuais em sessões de WiFi.

Unionid

Um identificador exclusivo atribuído pelo WeChat a um utilizador específico em todas as Contas Oficiais e Mini Programas registados sob a mesma conta da plataforma aberta WeChat. Permite o reconhecimento de utilizadores em vários produtos.

Relevante para marcas com múltiplos pontos de contacto WeChat (por exemplo, uma cadeia de retalho com um portal WiFi e um Mini Programa de compras) que pretendem unificar o perfil do utilizador em todas as interações.

Caching de endereços MAC

Uma funcionalidade de rede que armazena o identificador de hardware exclusivo de um dispositivo (endereço MAC) após a autenticação inicial, permitindo que a rede conceda acesso automaticamente em ligações subsequentes sem apresentar novamente o Captive Portal.

Utilizado para melhorar a experiência do visitante recorrente. A Purple regista a visita de retorno para análise, mesmo quando o portal não é exibido.

Captive Portal Assistant (CPA)

O mini-navegador iniciado automaticamente pelo iOS e Android quando detetam uma rede que requer autenticação por Captive Portal. Os CPAs têm funcionalidade limitada e podem não suportar chamadas de aplicações nativas necessárias para o fluxo OAuth do WeChat.

As equipas de TI devem testar o fluxo de login do WeChat especificamente no ambiente CPA e implementar a deteção de JavaScript para redirecionar para o navegador completo do sistema, se necessário.

VLAN

Virtual Local Area Network. Um segmento de rede lógico que isola o tráfego de outros segmentos na mesma infraestrutura física. Utilizado para separar o tráfego de WiFi de convidados das redes corporativas ou POS.

Os atributos RADIUS devolvidos pela Purple podem atribuir convidados autenticados pelo WeChat a uma VLAN específica, cumprindo os requisitos de segmentação de rede PCI-DSS.

Exemplos Práticos

Uma marca de retalho de luxo em Londres pretende oferecer WiFi contínuo a turistas chineses enquanto aumenta os seguidores na sua Conta Oficial do WeChat. Atualmente utilizam pontos de acesso Cisco Meraki e um portal padrão de captura de e-mail. A sua equipa de TI tem duas semanas para implementar antes de uma grande campanha do Ano Novo Chinês.

Semana um: Registar e verificar uma Conta de Serviço WeChat se ainda não estiver ativa (prever duas a quatro semanas para aprovação da Tencent, pelo que este passo deve ter começado mais cedo - caso contrário, utilizar uma entidade chinesa terceira verificada como medida provisória). Configurar a consola de programador do WeChat com o domínio de retorno correspondente ao URL do portal Purple. Na plataforma Purple, ativar a iniciação de sessão social do WeChat, introduzir o AppID e o AppSecret, e desenhar a página de entrada com o WeChat como opção principal de iniciação de sessão. Configurar o redirecionamento pós-autenticação para a página de seguidores da Conta Oficial do WeChat da marca. Semana dois: No painel da Meraki, atualizar o SSID de convidados para apontar para o URL do portal Purple. Adicionar todos os domínios da API do WeChat ao jardim vedado da Meraki em Wireless > Access Control. Configurar os detalhes do servidor RADIUS. Testar o fluxo completo de ponta a ponta a partir de um dispositivo iOS e Android. Ativar a colocação em cache de MAC para reconhecimento de visitantes frequentes por 30 dias. Entrar em funcionamento.

Comentário do Examinador: Esta abordagem utiliza o hardware Meraki existente sem quaisquer alterações de firmware. O elemento crítico do caminho é a verificação da conta do WeChat - esta deve ser iniciada com bastante antecedência em relação a qualquer prazo de campanha. O redirecionamento pós-iniciação de sessão para a página de seguidores da Conta Oficial é a decisão de configuração de maior valor, pois converte uma iniciação de sessão única de WiFi num canal de marketing de longo prazo.

Um estádio com capacidade para 15.000 pessoas está a acolher uma série de eventos internacionais com uma presença significativa de público de língua chinesa. O diretor de TI relata que 35% dos convidados abandonam o formulário de iniciação de sessão do WiFi antes de o concluir. A rede utiliza pontos de acesso HPE Aruba geridos através do Aruba Central.

Implementar o portal cativo da Purple com o WeChat como a principal opção de iniciação de sessão social, a par de alternativas de e-mail e SMS. Configurar o perfil do portal cativo do Aruba Central para redirecionar para a Purple e adicionar domínios do WeChat à lista permitida. Implementar um script de deteção CPA JavaScript na página de entrada para forçar o fluxo OAuth no navegador nativo do sistema, contornando o mini-navegador CPA da Aruba. Configurar os atributos RADIUS para atribuir os adeptos autenticados a uma VLAN de convidados dedicada, isolada da rede operacional do estádio. Definir o tempo limite da sessão para quatro horas para cobrir a duração típica de um evento sem exigir nova autenticação. Pós-autenticação, redirecionar os adeptos para um Mini Programa do WeChat que aloja o programa do evento, resultados ao vivo e um serviço de pedido de comida.

Comentário do Examinador: O script de deteção CPA é o diferencial técnico fundamental aqui. Sem ele, a chamada da aplicação WeChat falha no mini-navegador e os utilizadores deparam-se com uma experiência quebrada. O redirecionamento do Mini Programa maximiza o compromisso pós-autenticação, oferecendo aos adeptos valor imediato e relevante - o que também aumenta a probabilidade de seguirem a Conta Oficial do local.

Perguntas de Prática

Q1. O novo login WeChat WiFi do seu espaço está a falhar. Os convidados tocam no botão do WeChat na página de entrada, mas a página expira antes de a aplicação WeChat abrir. O painel do Cisco Meraki mostra que o SSID está online e o URL do portal Purple está configurado corretamente. Qual é a causa mais provável e como a resolve?

Dica: Considere que acesso à rede o dispositivo tem antes de concluir a autenticação.

Ver resposta modelo

O walled garden no SSID Meraki está mal configurado. O dispositivo não consegue contactar os domínios da API do WeChat antes da autenticação, pelo que o handshake OAuth não pode ser iniciado. Resolução: aceda a Wireless > Access Control no painel Meraki, localize a secção Walled Garden e adicione os domínios do WeChat necessários, incluindo *.weixin.qq.com, *.wechat.com e *.wx.qq.com. Teste tentando novamente o fluxo de início de sessão a partir de um dispositivo que não se tenha ligado anteriormente ao SSID.

Q2. Um diretor de marketing pretende utilizar a sua conta de subscrição WeChat existente (订阅号) para permitir o início de sessão via WiFi porque esta permite a publicação diária de artigos para os seguidores. O diretor pede-lhe para configurar a integração. Como responde?

Dica: Reveja os níveis de acesso da API para os diferentes tipos de conta WeChat.

Ver resposta modelo

Informe-o de que uma conta de subscrição não pode ser utilizada para autenticação de WiFi. As APIs de autorização de páginas web OAuth 2.0 necessárias para a integração com o Captive Portal apenas estão disponíveis para contas de serviço (服务号) verificadas. Será necessário registar uma conta de serviço. Isto exige uma licença comercial chinesa ou uma candidatura no estrangeiro através do processo especial da Tencent, que demora duas a quatro semanas e custa 99 $ anuais. A conta de subscrição pode continuar ativa para publicação de conteúdos; os dois tipos de conta servem propósitos diferentes e podem coexistir.

Q3. Após uma implementação bem-sucedida do WeChat WiFi, a equipa de TI nota que os utilizadores que se autenticaram há três semanas já não aparecem no CRM com dados de visitas atualizados, embora se estejam a ligar à rede. Qual é a causa provável?

Dica: Considere as definições de gestão de sessão configuradas no Purple e a duração da cache MAC.

Ver resposta modelo

A duração da cache MAC está provavelmente definida para um valor inferior a três semanas (por exemplo, 14 dias), pelo que está a ser concedido acesso aos utilizadores recorrentes através da cache MAC sem acionar um novo evento de autenticação ou atualização do CRM. Em alternativa, o token de acesso do WeChat para esses utilizadores expirou e a plataforma não o está a atualizar. Resolução: aumente a duração da cache MAC para 30 dias nas definições de visitante recorrente do Purple e certifique-se de que a configuração de atualização de token está ativa. Confirme também se o Purple está a registar as visitas em cache MAC como eventos de visita recorrente no painel de análise, mesmo quando o portal não é apresentado.

Q4. O seu espaço opera tanto no Reino Unido como na China continental. Pretende implementar um sistema unificado de autenticação WeChat WiFi. Que obrigações de conformidade deve abordar antes de entrar em funcionamento?

Dica: Aplicam-se dois regimes de privacidade distintos às duas geografias.

Ver resposta modelo

Deve cumprir tanto o GDPR (aplicável a utilizadores no Reino Unido e na UE) como a Lei de Proteção de Informações Pessoais da China (PIPL, aplicável a utilizadores na China continental). Os requisitos principais incluem: apresentar um aviso de privacidade claro na splash page antes de iniciar o fluxo OAuth, identificar o responsável pelo tratamento de dados e listar as categorias de dados recolhidos do WeChat, indicar a base jurídica para o processamento ao abrigo de cada regime (interesses legítimos ou consentimento sob o GDPR; consentimento sob a PIPL), disponibilizar um mecanismo para os utilizadores retirarem o consentimento e solicitarem a eliminação, e garantir que existem mecanismos de transferência de dados se os dados de perfil do WeChat fluírem entre jurisdições. Consulte o guia de conformidade com o GDPR do Purple e o seu consultor jurídico para obter os requisitos específicos de cada jurisdição.