Startseite
Über uns
Open Source Mobile Apps Häufig gestellte Fragen Migration von Google Fotos Über PixelUnion
Preise Blog
Hilfecenter
Konto Immich Sonstiges Support kontaktieren
Get Started
deep-dive development

Migration zu Keycloak: Unsere Reise zu verbesserter Sicherheit

Jochem
7 min read
#Keycloak #Identity Provider #IDP #Security #2FA #Migration #Immich
Migration zu Keycloak: Unsere Reise zu verbesserter Sicherheit

Migration zu Keycloak: Unsere Reise zu verbesserter Sicherheit

Während wir weiterhin an PixelUnion—Ihrer datenschutzorientierten Google Photos-Alternative aus Europa—arbeiten, verbessern wir kontinuierlich Sicherheit und Benutzerfreundlichkeit. Heute möchten wir ein wichtiges Update zu unserer Identity Provider-Migration teilen und was dies für Sie bedeutet.

Warum Wir einen Identity Provider Benötigen

Unsere Plattform basiert auf Immich, einer großartigen Open-Source-Foto-Verwaltungslösung. Immich ist jedoch mit einer bestimmten Philosophie entwickelt worden: Es konzentriert sich darauf, die beste Foto-Verwaltungssoftware zu sein, nicht darauf, Identitätsmanagement neu zu erfinden.

Immich unterstützt keine Zwei-Faktor-Authentifizierung (2FA) oder andere erweiterte Sicherheitsfunktionen per Design. Dies ist kein Fehler—es ist eine bewusste architektonische Entscheidung. Das Immich-Team glaubt, und wir stimmen voll und ganz zu, dass das Betreiben eines Identity Providers komplexe Arbeit ist, die von spezialisierter Software gehandhabt werden sollte, die von Sicherheitsprofis gewartet wird. Dies ermöglicht es Immich, sich auf das zu konzentrieren, was es am besten kann: die Verwaltung Ihrer Fotos und Videos.

Aber als SaaS-Plattform, die Tausende von Benutzern bedient, benötigen wir erweiterte Sicherheitsfunktionen, die Immich nicht bietet:

  • Zwei-Faktor-Authentifizierung (2FA): Schutz von Konten mit zeitbasierten Einmalpasswörtern (TOTP) von Authenticator-Apps
  • Passkeys: Moderne, passwortlose Authentifizierung
  • Erweiterte Benutzerverwaltung: Einladung von Familie und Freunden mit ordnungsgemäßen Kontoflows
  • Enterprise-Sicherheit: Erfüllung der Sicherheitsstandards, die unsere Benutzer erwarten

Deshalb haben wir uns entschieden, unseren eigenen Identity Provider zu implementieren.

Häufig Gestellte Fragen

Was bedeutet diese Migration für mich?

Für die meisten Benutzer ist die Migration nahtlos. Ihre Kontodaten bleiben unverändert, und Sie können PixelUnion genau wie zuvor weiterhin verwenden. Der Hauptunterschied ist, dass Sie jetzt Zugang zu erweiterten Sicherheitsfunktionen wie Zwei-Faktor-Authentifizierung haben.

Wenn Sie sich anmelden, werden Sie zu unserem neuen Keycloak-basierten Anmeldesystem weitergeleitet. Ihr Benutzername und Passwort funktionieren genau wie zuvor—keine Änderungen erforderlich auf Ihrer Seite.

Warum ist diese Migration notwendig?

Diese Migration ist notwendig, weil:

  1. Sicherheit: Immich unterstützt keine 2FA oder erweiterten Sicherheitsfunktionen per Design. Wir benötigen diese Funktionen, um Ihre Konten ordnungsgemäß zu schützen.
  2. Benutzerfreundlichkeit: Ein externer Identity Provider ermöglicht es uns, Funktionen wie Passwort-Wiederherstellung, Kontoverwaltung und sichere Benutzereinladungen anzubieten.
  3. Compliance: Als europäischer Dienst, der personenbezogene Daten verarbeitet, benötigen wir Enterprise-Identitätsmanagement, das den regulatorischen Anforderungen entspricht.
  4. Zukunftssicherheit: Ein dedizierter Identity Provider gibt uns die Flexibilität, neue Sicherheitsfunktionen hinzuzufügen, sobald sie verfügbar sind.

Wir unterstützen Immich’s Entscheidung, sich auf Foto-Verwaltung statt Identitätsmanagement zu konzentrieren. Diese Trennung der Anliegen ist gute Software-Architektur, aber es bedeutet, dass wir Identität separat handhaben müssen.

Wie aktiviere ich die Zwei-Faktor-Authentifizierung?

Jetzt, da wir zu Keycloak migriert sind, können Sie die Zwei-Faktor-Authentifizierung aktivieren, um eine zusätzliche Sicherheitsebene zu Ihrem Konto hinzuzufügen. So geht’s:

  1. Gehen Sie zur PixelUnion Kontosicherheitsseite
  2. Melden Sie sich mit Ihrem Benutzernamen und Passwort an
  3. Suchen Sie im Abschnitt Anmeldung nach Zwei-Faktor-Authentifizierung oder Authenticator-Anwendung
  4. Klicken Sie auf Authenticator-Anwendung einrichten
  5. Scannen Sie den QR-Code mit Ihrer Authenticator-App (wie Aegis Authenticator, 2FAS, Google Authenticator, Microsoft Authenticator oder Authy)
  6. Geben Sie den 6-stelligen Code aus Ihrer App ein, um zu verifizieren
  7. Wichtig: Speichern Sie Ihre Backup-Codes an einem sicheren Ort

Für detaillierte Schritt-für-Schritt-Anleitungen siehe unsere Zwei-Faktor-Authentifizierung Anleitung.

Warum musste ich mein Passwort nicht zurücksetzen?

Gute Frage! Sie mussten Ihr Passwort nicht zurücksetzen, weil wir Ihre Passwort-Hashes erfolgreich von Immich zu Keycloak migriert haben.

So funktioniert es und warum es sicher ist:

Wie Passwort-Hashing Funktioniert

Wenn Sie ein Konto erstellen, wird Ihr Passwort niemals im Klartext gespeichert. Stattdessen wird es durch eine kryptografische Hash-Funktion (in diesem Fall bcrypt2) verarbeitet, die Ihr Passwort in eine eindeutige Zeichenfolge umwandelt. Dieser Hash ist eine Einwegfunktion—Sie können ihn nicht umkehren, um das ursprüngliche Passwort zu erhalten.

Der Migrationsprozess

Sowohl Immich als auch Keycloak verwenden denselben Passwort-Hashing-Algorithmus: bcrypt2 (auch bekannt als bcrypt mit Versionskennung $2b$). Das bedeutet:

  1. Ihr Passwort-Hash von Immich ist in einem Format, das Keycloak versteht
  2. Wir können Ihren Hash direkt von Immich’s Datenbank zu Keycloak’s Datenbank kopieren
  3. Keycloak kann Ihr Passwort mit demselben Hash verifizieren, ohne das ursprüngliche Passwort zu benötigen

Warum Dies Sicher Ist

  • Keine Passwort-Exposition: Wir sehen oder handhaben Ihr tatsächliches Passwort niemals—nur den Hash
  • Gleiches Sicherheitsniveau: Das Hash-Format ist identisch, daher gibt es keine Sicherheitsverschlechterung
  • Industriestandard: bcrypt2 ist ein etablierter, sicherer Hashing-Algorithmus, der von Millionen von Anwendungen verwendet wird
  • Keine Klartext-Speicherung: Ihr Passwort wurde niemals im Klartext gespeichert, und das ist jetzt immer noch nicht der Fall

Dieser Migrationsansatz ist Standardpraxis in der Industrie und wird von großen Plattformen bei Übergängen zwischen Identity Providers verwendet. Es ist sicher, nahtlos und erfordert keine Aktion von Ihnen.

Werde ich Änderungen beim Anmelden bemerken?

Das Anmeldeerlebnis ist dem vorherigen sehr ähnlich. Sie geben weiterhin Ihren Benutzernamen und Ihr Passwort ein, werden aber zu unserer Keycloak-basierten Anmeldeseite weitergeleitet. Die URL zeigt login.pixelunion.eu statt Ihrer Instanz-Domain. Nach der Anmeldung werden Sie nahtlos zurück zu Ihrer PixelUnion-Instanz weitergeleitet.

Was ist, wenn ich nach der Migration Probleme beim Anmelden habe?

Wenn Sie Probleme beim Anmelden haben:

  1. Überprüfen Sie Ihre Anmeldedaten: Stellen Sie sicher, dass Sie denselben Benutzernamen und dasselbe Passwort wie zuvor verwenden
  2. Löschen Sie Ihren Browser-Cache: Manchmal können zwischengespeicherte Anmeldeseiten Probleme verursachen
  3. Versuchen Sie einen anderen Browser: Dies hilft, browserspezifische Probleme auszuschließen
  4. Überprüfen Sie Browser-Erweiterungen: Einige Passwort-Manager oder Sicherheitserweiterungen könnten stören
  5. Kontaktieren Sie den Support: Wenn nichts davon funktioniert, kontaktieren Sie unser Support-Team—wir sind für Sie da!

Ist meine Daten während der Migration sicher?

Absolut. Der Migrationsprozess:

  • Betrifft nicht Ihre Fotos oder Videos: Alle Ihre Medien bleiben unberührt in Ihrer Immich-Instanz
  • Migriert nur Authentifizierungsdaten: Wir übertragen nur Kontodaten (Benutzername und Passwort-Hash)
  • Erfolgt sicher: Die Migration wird über sichere, verschlüsselte Verbindungen durchgeführt
  • Wurde gründlich getestet: Wir haben den Migrationsprozess umfassend getestet, bevor wir ihn ausrollen

Ihre Datenschutz und Sicherheit bleiben unsere obersten Prioritäten während dieses Prozesses.

Muss ich Apps oder Integrationen aktualisieren?

Mobile Apps: Wenn Sie die Immich-Mobile-App verwenden, müssen Sie möglicherweise einmal nach der Migration ab- und wieder anmelden. Ihre gespeicherten Anmeldedaten sollten weiterhin funktionieren.

API-Schlüssel: Wenn Sie API-Schlüssel für Integrationen verwenden, bleiben diese unverändert und funktionieren wie zuvor.

Drittanbieter-Integrationen: Alle Integrationen, die OAuth oder OpenID Connect verwenden, funktionieren automatisch mit dem neuen Keycloak-System, da es dieselben Industriestandardprotokolle verwendet.

Was passiert mit meinen bestehenden Anmeldesitzungen?

Aktive Sitzungen können während der Migration abgemeldet werden. Dies ist eine Sicherheitsmaßnahme, um sicherzustellen, dass alle Sitzungen ordnungsgemäß mit dem neuen System authentifiziert werden. Melden Sie sich einfach erneut mit Ihren bestehenden Anmeldedaten an—kein Passwort-Reset erforderlich.

Wird dies Familienmitglieder oder Freunde betreffen, die mein Konto teilen?

Wenn Sie Ihre Kontodaten mit Familie oder Freunden geteilt haben, müssen sie das neue Anmeldesystem verwenden, aber ihr Zugang bleibt derselbe. Wir empfehlen, dass jede Person ihr eigenes Konto für bessere Sicherheit hat. Mit Keycloak können wir jetzt ordnungsgemäße Multi-User-Setups mit individuellen Konten und Berechtigungen unterstützen.

Ist 2FA obligatorisch oder kann ich mich abmelden?

Die Zwei-Faktor-Authentifizierung ist optional, aber dringend empfohlen. Wir empfehlen allen Benutzern dringend, 2FA für erweiterte Kontosicherheit zu aktivieren, aber es ist nicht erforderlich. Sie können es jederzeit auf Ihrer Kontosicherheitsseite aktivieren.

Ich habe mehrere PixelUnion-Instanzen und mein Passwort funktioniert nicht. Was soll ich tun?

Wenn Sie mehrere PixelUnion-Instanzen haben und feststellen, dass Ihr Passwort nach der Migration nicht funktioniert, liegt dies wahrscheinlich daran, dass wir jeden Benutzer nur einmal migrieren können. Wenn Sie Konten auf mehreren Instanzen hatten, wurde das Passwort von einer Ihrer Installationen migriert, aber nicht unbedingt die, auf die Sie zugreifen möchten.

Keine Sorge—das ist leicht zu beheben! Sie können Ihr Passwort direkt von der Anmeldeseite zurücksetzen:

  1. Gehen Sie zur PixelUnion-Anmeldeseite
  2. Klicken Sie auf Passwort vergessen? oder Passwort zurücksetzen
  3. Geben Sie Ihre E-Mail-Adresse ein
  4. Überprüfen Sie Ihre E-Mail auf den Passwort-Reset-Link
  5. Befolgen Sie die Anweisungen, um ein neues Passwort festzulegen

Wenn Sie Hilfe benötigen oder Probleme beim Zurücksetzen Ihres Passworts haben, kontaktieren Sie bitte unser Support-Team. Wir sind für Sie da!

Unsere Reise: Von Authentik zu Keycloak

In unserem vorherigen Blogbeitrag erklärten wir, warum wir Authentik als unseren Identity Provider gewählt haben. Authentik ist eine großartige Open-Source-Lösung, die viele Kriterien erfüllte: Es ist europafreundlich, unterstützt Industriestandardprotokolle und bietet die Sicherheitsfunktionen, die wir benötigten.

Nachdem wir jedoch erhebliche Zeit mit der Implementierung von Authentik verbracht hatten, stellten wir fest, dass es nicht die richtige Wahl für unsere spezifischen Bedürfnisse war. Obwohl Authentik ausgezeichnete Software ist, stießen wir auf Herausforderungen, die uns zum Umdenken veranlassten. Nach sorgfältiger Evaluierung trafen wir die Entscheidung, zu Keycloak zu wechseln.

Keycloak ist ein ausgereifter, bewährter Identity Provider, der seit Jahren von Organisationen weltweit verwendet wird. Es bietet:

  • Bewiesene Zuverlässigkeit: Verwendet von großen Unternehmen und Organisationen
  • Umfassende Dokumentation: Umfangreiche Ressourcen und Community-Unterstützung
  • Bessere Passform für unsere Architektur: Passt besser zu unseren technischen Anforderungen
  • Robuste Funktionspalette: Alle Sicherheitsfunktionen, die wir benötigen, plus Raum zum Wachsen

Dieser Wechsel erforderte zusätzliche Entwicklungszeit, aber wir sind zuversichtlich, dass es die richtige Entscheidung für die langfristige Stabilität und Sicherheit von PixelUnion war.

Was Kommt Als Nächstes?

Wir verbessern weiterhin unser Identity Provider-Setup und fügen neue Sicherheitsfunktionen hinzu. Wenn Sie Fragen oder Bedenken zur Migration haben, kontaktieren Sie bitte unser Support-Team. Wir sind für Sie da!

Vielen Dank, dass Sie Teil der PixelUnion-Community sind. Ihre Sicherheit und Privatsphäre bleiben unsere obersten Prioritäten.