Startseite
Über uns
Open Source Mobile Apps Häufig gestellte Fragen Migration von Google Fotos Über PixelUnion
Preise FAQ Blog Support
Get Started
deep-dive development

Die Schlüssel zu unserer europäischen Festung: Warum wir Authentik für PixelUnion (und Immich!) gewählt haben

Jochem
3 min read
#Immich #PixelUnions #Authentik #Identity Provider #IDP #Security #Privacy
Die Schlüssel zu unserer europäischen Festung: Warum wir Authentik für PixelUnion (und Immich!) gewählt haben

Die Schlüssel zu unserer europäischen Festung: Warum wir Authentik für PixelUnion (und Immich!) gewählt haben

Wir betreiben PixelUnion – deine datenschutzorientierte europäische Alternative zu Google Photos. Unsere Arbeit gründet auf der Überzeugung, dass Europa sich selbst versorgen kann und dass die Technologien, die wir hier bauen, mit amerikanischen Lösungen mithalten.

Beim Aufbau einer Plattform gibt es einen Dienst, der für Sicherheit unverzichtbar ist: den Identity Provider (IDP). Er verwahrt die Identität unserer Nutzer und die Schlüssel zu ihren Burgen. Für uns ist es ein Grundprinzip, dass solch kritische Infrastruktur in Europa basiert.

Also: Warum Authentik?

Das Identitätsproblem in Immich

Unsere Grundlage ist Immich. Großartiges Projekt – aber es unterstützt nur einfache interne Nutzer mit Benutzername/Passwort und bietet keine Multi-Faktor-Authentifizierung (MFA).

Das ist kein Mangel, sondern eine bewusste Entscheidung. Das Immich-Team weiß – wie wir –, dass der Betrieb eines IDP ein eigenes Spezialgebiet für spezialisierte Software und Security Engineers ist. Sie konzentrieren sich auf den Kern von Immich statt das Rad neu zu erfinden.

Als SaaS-Plattform brauchen wir jedoch erweiterte Sicherheit:

  1. MFA: Unterstützung für Passkeys oder zeitbasierte Tokens (Einmalcodes aus einer Authenticator-App).
  2. Nutzer-Flow: Nutzer müssen innerhalb von Immich Familie und Freunde einladen können. Dafür brauchen wir: Nutzer zur PixelUnion-Tenant hinzufügen, E-Mail zur IDP-Registrierung senden, danach zurückleiten zur Instanz.

Warum wir es selbst bauen mussten

Wir haben intensiv nach einem europäischen IDP gesucht, der unsere Anforderungen erfüllt:

  1. Europäisch und vertrauenswürdig
  2. Unter unserer eigenen Kontrolle hostbar
  3. Preislich tragbar bei Tausenden externer Nutzer

Ergebnis: Kein externer Anbieter erfüllte alles.

Es blieb nur eine realistische Option: selbst hosten. Wir prüften u. a. Keycloak, entschieden uns aber schließlich für Authentik.

Authentik: Open Source, sicher und kosteneffizient

Authentik erfüllte sofort unsere Kriterien für Sicherheit, Kontrolle und Wachstum.

1. Sicherheit & Offenheit

Authentik ist wirklich Open Source. Das schafft Transparenz und ermöglicht uns Kontrolle, Anpassung und Datenschutz zu priorisieren. Es unterstützt alle MFA-Varianten, die wir benötigen, und bietet fortgeschrittene Features für die Zukunft.

2. Standards & Flexibilität

Unterstützt SAML2, OAuth2, OpenID Connect (OIDC), LDAP und Radius. Anwendungen müssen “Authentik” nicht kennen – nur die Standardprotokolle. Alles, was OIDC spricht, funktioniert direkt. Ein zentraler Authentifizierungsort, hochgradig anpassbar.

3. Kosten

Authentik ist frei und Open Source. Selbst hosting ist bei unserer Nutzerbasis deutlich günstiger als nutzer- oder authentifizierungsbasierte Abrechnung durch Dritte.

Wie geht es weiter? Wir bauen!

Wir sind aktuell mit der Umsetzung beschäftigt. In den kommenden Monaten migrieren wir Nutzer und Plattform zu Authentik. Priorität: gründliches Beta-Testing und Härtung mit modernen Sicherheitstechniken.

Ein reibungsloses MFA-Onboarding ist entscheidend. Durch unseren Einlade-Flow braucht es eine kleine Änderung im Open-Source-Immich-Projekt. Wir werden sie beitragen und euch auf dem Laufenden halten, sobald die IDP-Integration live geht.

Bleibt dran – wir machen einen weiteren Schritt zu einer sicheren, europäisch kontrollierten Foto-Alternative!