Forside
Om os
Open source Mobilapps Ofte stillede spørgsmål Migrér fra Google Photos Om PixelUnion
Priser Blog
Hjælpecenter
Konto Immich Øvrigt Kontakt support
Get Started
deep-dive development

Migration til Keycloak: Vores rejse mod forbedret sikkerhed

Jochem
7 min read
#Keycloak #Identity Provider #IDP #Security #2FA #Migration #Immich
Migration til Keycloak: Vores rejse mod forbedret sikkerhed

Migration til Keycloak: Vores rejse mod forbedret sikkerhed

Mens vi fortsat bygger PixelUnion – dit privatlivsorienterede Google Photos-alternativ fra Europa – arbejder vi konstant på at forbedre sikkerhed og brugeroplevelse. I dag vil vi dele en vigtig opdatering om vores identity provider-migration og hvad det betyder for dig.

Hvorfor vi har brug for en identity provider

Vores platform er bygget på Immich, en fantastisk open-source fotostyringsløsning. Men Immich er designet med en bestemt filosofi: det fokuserer på at være den bedste fotostyringssoftware, ikke på at genopfinde identitetsstyring.

Immich understøtter ikke to-faktor-autentificering (2FA) eller andre avancerede sikkerhedsfunktioner by design. Det er ikke en fejl – det er et bevidst arkitektonisk valg. Immich-teamet mener, og vi er fuldt enige, at kørsel af en identity provider er komplekst arbejde, der bør håndteres af specialiseret software vedligeholdt af sikkerhedsprofessionelle. Det lader Immich fokusere på det, det gør bedst: at styre dine fotos og videoer.

Men som SaaS-platform der betjener tusindvis af brugere har vi brug for avancerede sikkerhedsfunktioner, som Immich ikke tilbyder:

  • To-faktor-autentificering (2FA): Beskytter konti med tidsbaserede engangsadgangskoder (TOTP) fra authenticator-apps
  • Passkeys: Moderne, adgangskodeløs autentificering
  • Avanceret brugerstyring: Invitere familie og venner med korrekte kontoflows
  • Enterprise-grade sikkerhed: Opfylde de sikkerhedsstandarder, vores brugere forventer

Derfor besluttede vi at implementere vores egen identity provider.

Ofte stillede spørgsmål

Hvad betyder denne migration for mig?

For de fleste brugere er migrationen problemfri. Dine kontooplysninger forbliver de samme, og du kan fortsætte med at bruge PixelUnion præcis som før. Hovedforskellen er, at du nu har adgang til forbedrede sikkerhedsfunktioner som to-faktor-autentificering.

Når du logger ind, omdirigeres du til vores nye Keycloak-baserede loginsystem. Dit brugernavn og din adgangskode fungerer præcis som før – ingen ændringer nødvendige hos dig.

Hvorfor er denne migration nødvendig?

Denne migration er nødvendig, fordi:

  1. Sikkerhed: Immich understøtter ikke 2FA eller avancerede sikkerhedsfunktioner by design. Vi har brug for disse funktioner for at beskytte dine konti ordentligt.
  2. Brugeroplevelse: En ekstern identity provider giver os mulighed for at tilbyde funktioner som adgangskodegenskabelse, kontostyring og sikre brugerinvitationer.
  3. Compliance: Som europæisk tjeneste der håndterer personlige data har vi brug for enterprise-grade identitetsstyring, der opfylder regulatoriske krav.
  4. Fremtidssikring: En dedikeret identity provider giver os fleksibiliteten til at tilføje nye sikkerhedsfunktioner, når de bliver tilgængelige.

Vi støtter Immichs beslutning om at fokusere på fotostyring frem for identitetsstyring. Denne adskillelse af ansvar er god softwarearkitektur, men det betyder, at vi skal håndtere identitet separat.

Hvordan aktiverer jeg to-faktor-autentificering?

Nu hvor vi er migreret til Keycloak, kan du aktivere to-faktor-autentificering for at tilføje et ekstra lag af sikkerhed til din konto. Sådan gør du:

  1. Gå til PixelUnion Account Security-siden
  2. Log ind med dit brugernavn og din adgangskode
  3. I sektionen Signing In find Two-Factor Authentication eller Authenticator Application
  4. Klik på Set up Authenticator Application
  5. Scan QR-koden med din authenticator-app (som Aegis Authenticator, 2FAS, Google Authenticator, Microsoft Authenticator eller Authy)
  6. Indtast den 6-cifrede kode fra din app for at bekræfte
  7. Vigtigt: Gem dine backup-koder et sikkert sted

For detaljerede trin-for-trin instruktioner se vores guide til to-faktor-autentificering.

Hvorfor behøvede jeg ikke at nulstille min adgangskode?

Godt spørgsmål! Du behøvede ikke at nulstille din adgangskode, fordi vi med succes migrerede dine adgangskode-hashes fra Immich til Keycloak.

Sådan fungerer det, og hvorfor det er sikkert:

Sådan fungerer adgangskode-hashing

Når du opretter en konto, gemmes din adgangskode aldrig i ren tekst. I stedet behandles den gennem en kryptografisk hash-funktion (i dette tilfælde bcrypt2), der konverterer din adgangskode til en unik tegnstreng. Denne hash er en énvejsfunktion – du kan ikke vende den for at få den oprindelige adgangskode.

Migrationsprocessen

Både Immich og Keycloak bruger den samme adgangskode-hashing-algoritme: bcrypt2 (også kendt som bcrypt med versionsidentifikator $2b$). Det betyder:

  1. Din adgangskode-hash fra Immich er i et format, som Keycloak forstår
  2. Vi kan kopiere din hash direkte fra Immichs database til Keycloaks database
  3. Keycloak kan verificere din adgangskode med den samme hash uden at have brug for den oprindelige adgangskode

Hvorfor det er sikkert

  • Ingen adgangskodeeksponering: Vi ser eller håndterer aldrig din faktiske adgangskode – kun hashen
  • Samme sikkerhedsniveau: Hash-formatet er identisk, så der er ingen sikkerhedsforringelse
  • Branchestandard: bcrypt2 er en veletableret, sikker hashing-algoritme brugt af millioner af applikationer
  • Ingen lagring i ren tekst: Din adgangskode blev aldrig gemt i ren tekst før, og det gør den ikke nu

Denne migrations tilgang er standardpraksis i branchen og bruges af store platforme ved overgang mellem identity providers. Det er sikkert, problemfrit og kræver ingen handling fra dig.

Vil jeg bemærke ændringer ved login?

Login-oplevelsen er meget lig den tidligere. Du indtaster stadig dit brugernavn og din adgangskode, men du bliver omdirigeret til vores Keycloak-baserede login-side. URL’en viser login.pixelunion.eu i stedet for dit instansdomæne. Når du er logget ind, bliver du problemfrit omdirigeret tilbage til din PixelUnion-instans.

Hvad hvis jeg har problemer med at logge ind efter migrationen?

Hvis du oplever problemer med at logge ind:

  1. Tjek dine credentials: Sørg for at bruge det samme brugernavn og den samme adgangskode som før
  2. Ryd din browser-cache: Cached login-sider kan undertiden give problemer
  3. Prøv en anden browser: Det hjælper med at udelukke browser-specifikke problemer
  4. Tjek for browser-udvidelser: Nogle adgangskodehåndteringer eller sikkerhedsudvidelser kan forstyrre
  5. Kontakt support: Hvis intet af ovenstående virker, kontakt vores supportteam – vi er her for at hjælpe!

Er mine data sikre under migrationen?

Absolut. Migrationsprocessen:

  • Påvirker ikke dine fotos eller videoer: Alle dine medier forbliver urørte i din Immich-instans
  • Migrerer kun autentifikationsdata: Vi overfører kun kontooplysninger (brugernavn og adgangskode-hash)
  • Sker sikkert: Migrationen udføres med sikre, krypterede forbindelser
  • Er grundigt testet: Vi har omfattende testet migrationsprocessen før udrulning

Dine dataprivatliv og sikkerhed forbliver vores højeste prioritet gennem hele processen.

Skal jeg opdatere apps eller integrationer?

Mobilapps: Hvis du bruger Immich mobilappen, kan det være nødvendigt at logge ud og ind igen én gang efter migrationen. Dine gemte credentials bør fortsat virke.

API-nøgler: Hvis du bruger API-nøgler til integrationer, forbliver de uændrede og virker som før.

Tredjepartsintegrationer: Alle integrationer der bruger OAuth eller OpenID Connect vil automatisk virke med det nye Keycloak-system, da det bruger de samme branchestandardprotokoller.

Hvad sker der med mine eksisterende login-sessioner?

Aktive sessioner kan blive logget ud under migrationen. Det er en sikkerhedsforanstaltning for at sikre, at alle sessioner er korrekt autentificeret med det nye system. Log blot ind igen med dine eksisterende credentials – ingen adgangskodenulstilling nødvendig.

Påvirker det familiemedlemmer eller venner, der deler min konto?

Hvis du har delt dine kontooplysninger med familie eller venner, skal de bruge det nye loginsystem, men deres adgang forbliver den samme. Vi anbefaler, at hver person har sin egen konto for bedre sikkerhed. Med Keycloak kan vi nu understøtte ordentlige multi-bruger-opsætninger med individuelle konti og tilladelser.

Er 2FA obligatorisk, eller kan jeg fravælge?

To-faktor-autentificering er valgfri men stærkt anbefalet. Vi opfordrer stærkt alle brugere til at aktivere 2FA for forbedret kontosikkerhed, men det er ikke påkrævet. Du kan aktivere det når som helst fra din Account Security-side.

Jeg har flere PixelUnion-instanser, og min adgangskode virker ikke. Hvad skal jeg gøre?

Hvis du har flere PixelUnion-instanser og oplever, at din adgangskode ikke virker efter migrationen, skyldes det sandsynligvis, at vi kun kan migrere hver bruger én gang. Hvis du havde konti på flere instanser, blev adgangskoden fra én af dine installationer migreret, men ikke nødvendigvis den, du forsøger at få adgang til.

Vær ikke bekymret – det er nemt at rette! Du kan nulstille din adgangskode direkte fra login-siden:

  1. Gå til PixelUnion login-siden
  2. Klik på Forgot Password? eller Reset Password
  3. Indtast din e-mailadresse
  4. Tjek din e-mail for linket til adgangskodenulstilling
  5. Følg instruktionerne for at sætte en ny adgangskode

Hvis du har brug for assistance eller har problemer med at nulstille din adgangskode, kontakt vores supportteam. Vi er her for at hjælpe!

Vores rejse: Fra Authentik til Keycloak

I vores tidligere blogindlæg forklarede vi, hvorfor vi valgte Authentik som vores identity provider. Authentik er en god open-source løsning der opfyldte mange krav: den er europæisk-venlig, understøtter branchestandardprotokoller og giver de sikkerhedsfunktioner, vi havde brug for.

Men efter at have brugt betydelig tid på at implementere Authentik opdagede vi, at det ikke var det rigtige valg til vores specifikke behov. Selv om Authentik er fremragende software, stødte vi på udfordringer, der fik os til at genoverveje vores valg. Efter omhyggelig evaluering besluttede vi at skifte til Keycloak.

Keycloak er en moden, kamp-tested identity provider, der har været brugt af organisationer verden over i årevis. Den tilbyder:

  • Bevist pålidelighed: Brugt af store virksomheder og organisationer
  • Omfattende dokumentation: Omfattende ressourcer og community-støtte
  • Bedre match med vores arkitektur: Matcher tættere med vores tekniske krav
  • Robust funktionssæt: Alle de sikkerhedsfunktioner vi har brug for, plus plads til vækst

Dette skift krævede ekstra udviklingstid, men vi er overbeviste om, at det var den rigtige beslutning for PixelUnions langsigtede stabilitet og sikkerhed.

Hvad kommer næste?

Vi fortsætter med at forbedre vores identity provider-opsætning og tilføje nye sikkerhedsfunktioner. Hvis du har spørgsmål eller bekymringer om migrationen, kontakt vores supportteam. Vi er her for at hjælpe!

Tak fordi du er en del af PixelUnion-communityet. Din sikkerhed og privatliv forbliver vores højeste prioritet.