Inicio
Acerca de
Código abierto Aplicaciones móviles Preguntas frecuentes Migrar desde Google Fotos Acerca de PixelUnion
Tarifas FAQ Blog Soporte
Get Started
deep-dive development

Las llaves de nuestro castillo europeo: por qué elegimos Authentik para PixelUnion (e Immich)

Jochem
3 min read
#Immich #PixelUnions #Authentik #Identity Provider #IDP #Security #Privacy
Las llaves de nuestro castillo europeo: por qué elegimos Authentik para PixelUnion (e Immich)

Las llaves de nuestro castillo europeo: por qué elegimos Authentik para PixelUnion (e Immich)

Operamos PixelUnion, tu alternativa europea a Google Photos enfocada en la privacidad. Creemos firmemente que Europa debe valerse por sí misma y que la tecnología creada aquí puede competir con la estadounidense.

En cualquier plataforma seria hay un servicio crítico para la seguridad: el proveedor de identidad (IDP). Esa capa custodia la identidad de los usuarios y las llaves de sus castillos. Para nosotros es un valor central que esta infraestructura resida en Europa.

Entonces, ¿por qué Authentik?

El problema de identidad en Immich

Nuestra base es Immich. Un gran proyecto, pero solo maneja usuarios internos simples (usuario + contraseña) y no integra autenticación multifactor (MFA).

No es una carencia; es una decisión consciente. El equipo de Immich —igual que nosotros— sabe que operar un IDP es una especialidad para software y equipos de seguridad dedicados. Ellos se enfocan en la calidad central de Immich.

Como plataforma SaaS, necesitamos más seguridad:

  1. MFA: Soporte de passkeys o tokens temporales (códigos de un solo uso de una app autenticadora).
  2. Flujo de usuarios: Los clientes deben poder invitar a familia y amigos desde Immich. Flujo: añadir al tenant, enviar correo para crear cuenta en el IDP y redirigir a la instancia.

Por qué tuvimos que construirlo nosotros

Buscamos un IDP europeo que cumpliera:

  1. Europeo y confiable
  2. Bajo nuestro control
  3. Rentable con miles de usuarios externos

Resultado: ninguno marcó todas las casillas.

Quedó una opción: autoalojarlo. Evaluamos Keycloak, pero elegimos Authentik.

Authentik: open source, seguro y rentable

Authentik cumplió de inmediato nuestras exigencias de seguridad, control y escalado.

1. Seguridad y apertura

Es realmente open source. Transparencia, control y privacidad de datos priorizados. Soporta todos los métodos MFA que necesitamos y ofrece funciones avanzadas para el futuro.

2. Estándares y flexibilidad

Compatible con SAML2, OAuth2, OpenID Connect (OIDC), LDAP y Radius. Las apps no necesitan “soportar Authentik”, solo los protocolos estándar. Todo lo que hable OIDC funciona de inmediato. Un punto central para la autenticación, muy personalizable.

3. Coste

Es gratuito y open source. A nuestra escala, autoalojar es mucho más barato que precios por usuario o autenticación.

¿Y ahora qué? ¡Estamos construyéndolo!

Estamos implementando la solución. En los próximos meses migraremos usuarios y plataforma a Authentik. Prioridad: beta testing exhaustivo y refuerzo con técnicas modernas.

Una experiencia fluida de configuración MFA es clave. Debido a nuestro flujo de invitación hará falta un pequeño cambio en el proyecto open source de Immich. Lo contribuiremos y os mantendremos al día cuando la integración IDP esté lista.

Seguimos avanzando hacia una alternativa fotográfica segura y soberana hecha en Europa.