Accueil
À propos
Open Source Applications mobiles Questions fréquentes Migrer depuis Google Photos À propos de PixelUnion
Tarifs Blog
Centre d'Aide
Compte Immich Autres Contacter le support
Get Started
deep-dive development

Migration vers Keycloak : Notre Voyage vers une Sécurité Renforcée

Jochem
10 min read
#Keycloak #Identity Provider #IDP #Security #2FA #Migration #Immich
Migration vers Keycloak : Notre Voyage vers une Sécurité Renforcée

Migration vers Keycloak : Notre Voyage vers une Sécurité Renforcée

Alors que nous continuons à construire PixelUnion—votre alternative européenne à Google Photos axée sur la confidentialité—nous travaillons constamment à améliorer la sécurité et l’expérience utilisateur. Aujourd’hui, nous souhaitons partager une mise à jour importante concernant notre migration de fournisseur d’identité et ce que cela signifie pour vous.

Pourquoi Nous Avons Besoin d’un Fournisseur d’Identité

Notre plateforme est construite sur Immich, une solution incroyable de gestion de photos open source. Cependant, Immich est conçu avec une philosophie spécifique : il se concentre sur le fait d’être le meilleur logiciel de gestion de photos, pas sur la réinvention de la gestion d’identité.

Immich ne prend pas en charge l’authentification à deux facteurs (2FA) ou d’autres fonctionnalités de sécurité avancées par conception. Ce n’est pas un défaut—c’est un choix architectural délibéré. L’équipe Immich croit, et nous sommes entièrement d’accord, que l’exploitation d’un fournisseur d’identité est un travail complexe qui devrait être géré par un logiciel spécialisé maintenu par des professionnels de la sécurité. Cela permet à Immich de se concentrer sur ce qu’il fait de mieux : gérer vos photos et vidéos.

Mais en tant que plateforme SaaS desservant des milliers d’utilisateurs, nous avons besoin de fonctionnalités de sécurité avancées qu’Immich ne fournit pas :

  • Authentification à deux facteurs (2FA) : Protection des comptes avec des mots de passe à usage unique basés sur le temps (TOTP) depuis des applications d’authentification
  • Passkeys : Authentification moderne sans mot de passe
  • Gestion avancée des utilisateurs : Inviter la famille et les amis avec des flux de compte appropriés
  • Sécurité de niveau entreprise : Répondre aux normes de sécurité que nos utilisateurs attendent

C’est pourquoi nous avons décidé d’implémenter notre propre fournisseur d’identité.

Questions Fréquemment Posées

Que signifie cette migration pour moi ?

Pour la plupart des utilisateurs, la migration est transparente. Vos identifiants de compte restent les mêmes, et vous pouvez continuer à utiliser PixelUnion exactement comme avant. La principale différence est que vous avez maintenant accès à des fonctionnalités de sécurité améliorées comme l’authentification à deux facteurs.

Lorsque vous vous connectez, vous serez redirigé vers notre nouveau système de connexion basé sur Keycloak. Votre nom d’utilisateur et votre mot de passe fonctionnent exactement comme avant—aucun changement nécessaire de votre côté.

Pourquoi cette migration est-elle nécessaire ?

Cette migration est nécessaire car :

  1. Sécurité : Immich ne prend pas en charge la 2FA ou les fonctionnalités de sécurité avancées par conception. Nous avons besoin de ces fonctionnalités pour protéger correctement vos comptes.
  2. Expérience utilisateur : Un fournisseur d’identité externe nous permet d’offrir des fonctionnalités telles que la récupération de mot de passe, la gestion de compte et les invitations d’utilisateurs sécurisées.
  3. Conformité : En tant que service européen traitant des données personnelles, nous avons besoin d’une gestion d’identité de niveau entreprise qui réponde aux exigences réglementaires.
  4. Avenir : Un fournisseur d’identité dédié nous donne la flexibilité d’ajouter de nouvelles fonctionnalités de sécurité dès qu’elles deviennent disponibles.

Nous soutenons la décision d’Immich de se concentrer sur la gestion de photos plutôt que sur la gestion d’identité. Cette séparation des préoccupations est une bonne architecture logicielle, mais cela signifie que nous devons gérer l’identité séparément.

Comment activer l’authentification à deux facteurs ?

Maintenant que nous avons migré vers Keycloak, vous pouvez activer l’authentification à deux facteurs pour ajouter une couche de sécurité supplémentaire à votre compte. Voici comment :

  1. Allez sur la page de sécurité du compte PixelUnion
  2. Connectez-vous avec votre nom d’utilisateur et votre mot de passe
  3. Dans la section Connexion, trouvez Authentification à deux facteurs ou Application d’authentification
  4. Cliquez sur Configurer l’application d’authentification
  5. Scannez le code QR avec votre application d’authentification (comme Aegis Authenticator, 2FAS, Google Authenticator, Microsoft Authenticator ou Authy)
  6. Entrez le code à 6 chiffres de votre application pour vérifier
  7. Important : Enregistrez vos codes de sauvegarde dans un endroit sûr

Pour des instructions détaillées étape par étape, consultez notre guide d’authentification à deux facteurs.

Pourquoi n’ai-je pas eu besoin de réinitialiser mon mot de passe ?

Excellente question ! Vous n’avez pas eu besoin de réinitialiser votre mot de passe car nous avons migré avec succès vos hachages de mot de passe d’Immich vers Keycloak.

Voici comment cela fonctionne et pourquoi c’est sûr :

Comment Fonctionne le Hachage de Mot de Passe

Lorsque vous créez un compte, votre mot de passe n’est jamais stocké en texte clair. Au lieu de cela, il est traité par une fonction de hachage cryptographique (dans ce cas, bcrypt2) qui convertit votre mot de passe en une chaîne unique de caractères. Ce hachage est une fonction à sens unique—vous ne pouvez pas l’inverser pour obtenir le mot de passe original.

Le Processus de Migration

Immich et Keycloak utilisent tous deux le même algorithme de hachage de mot de passe : bcrypt2 (également connu sous le nom de bcrypt avec l’identifiant de version $2b$). Cela signifie :

  1. Votre hachage de mot de passe d’Immich est dans un format que Keycloak comprend
  2. Nous pouvons copier votre hachage directement de la base de données d’Immich vers la base de données de Keycloak
  3. Keycloak peut vérifier votre mot de passe en utilisant le même hachage sans avoir besoin du mot de passe original

Pourquoi C’est Sûr

  • Aucune exposition de mot de passe : Nous ne voyons ni ne manipulons jamais votre mot de passe réel—seulement le hachage
  • Même niveau de sécurité : Le format de hachage est identique, donc il n’y a pas de dégradation de sécurité
  • Standard de l’industrie : bcrypt2 est un algorithme de hachage bien établi et sécurisé utilisé par des millions d’applications
  • Aucun stockage en texte clair : Votre mot de passe n’a jamais été stocké en texte clair auparavant, et ce n’est toujours pas le cas maintenant

Cette approche de migration est une pratique standard dans l’industrie et est utilisée par les grandes plateformes lors des transitions entre fournisseurs d’identité. C’est sûr, transparent et ne nécessite aucune action de votre part.

Vais-je remarquer des changements lors de la connexion ?

L’expérience de connexion est très similaire à avant. Vous entrerez toujours votre nom d’utilisateur et votre mot de passe, mais vous serez redirigé vers notre page de connexion basée sur Keycloak. L’URL affichera login.pixelunion.eu au lieu de votre domaine d’instance. Une fois connecté, vous serez redirigé de manière transparente vers votre instance PixelUnion.

Que faire si j’ai des problèmes de connexion après la migration ?

Si vous rencontrez des problèmes de connexion :

  1. Vérifiez vos identifiants : Assurez-vous d’utiliser le même nom d’utilisateur et mot de passe qu’avant
  2. Videz le cache de votre navigateur : Parfois, les pages de connexion en cache peuvent causer des problèmes
  3. Essayez un autre navigateur : Cela aide à éliminer les problèmes spécifiques au navigateur
  4. Vérifiez les extensions du navigateur : Certains gestionnaires de mots de passe ou extensions de sécurité peuvent interférer
  5. Contactez le support : Si rien de tout cela ne fonctionne, contactez notre équipe de support—nous sommes là pour vous aider !

Mes données sont-elles sûres pendant la migration ?

Absolument. Le processus de migration :

  • N’affecte pas vos photos ou vidéos : Tous vos médias restent intacts dans votre instance Immich
  • Migre uniquement les données d’authentification : Nous ne transférons que les identifiants de compte (nom d’utilisateur et hachage de mot de passe)
  • Se produit de manière sécurisée : La migration est effectuée à l’aide de connexions sécurisées et cryptées
  • A été testée en profondeur : Nous avons testé le processus de migration de manière approfondie avant de le déployer

Votre confidentialité et sécurité des données restent nos priorités absolues tout au long de ce processus.

Dois-je mettre à jour des applications ou des intégrations ?

Applications mobiles : Si vous utilisez l’application mobile Immich, vous devrez peut-être vous déconnecter et vous reconnecter une fois après la migration. Vos identifiants enregistrés devraient continuer à fonctionner.

Clés API : Si vous utilisez des clés API pour des intégrations, celles-ci restent inchangées et continuent de fonctionner comme avant.

Intégrations tierces : Toutes les intégrations utilisant OAuth ou OpenID Connect fonctionneront automatiquement avec le nouveau système Keycloak, car il utilise les mêmes protocoles standard de l’industrie.

Que se passe-t-il avec mes sessions de connexion existantes ?

Les sessions actives peuvent être déconnectées pendant la migration. Il s’agit d’une mesure de sécurité pour garantir que toutes les sessions sont correctement authentifiées avec le nouveau système. Connectez-vous simplement à nouveau avec vos identifiants existants—aucune réinitialisation de mot de passe nécessaire.

Cela affectera-t-il les membres de la famille ou les amis qui partagent mon compte ?

Si vous avez partagé vos identifiants de compte avec des membres de la famille ou des amis, ils devront utiliser le nouveau système de connexion, mais leur accès reste le même. Nous recommandons que chaque personne ait son propre compte pour une meilleure sécurité. Avec Keycloak, nous pouvons maintenant prendre en charge des configurations multi-utilisateurs appropriées avec des comptes individuels et des permissions.

La 2FA est-elle obligatoire ou puis-je me désinscrire ?

L’authentification à deux facteurs est optionnelle mais fortement recommandée. Nous encourageons vivement tous les utilisateurs à activer la 2FA pour une sécurité de compte renforcée, mais ce n’est pas obligatoire. Vous pouvez l’activer à tout moment depuis votre page de sécurité du compte.

J’ai plusieurs instances PixelUnion et mon mot de passe ne fonctionne pas. Que dois-je faire ?

Si vous avez plusieurs instances PixelUnion et constatez que votre mot de passe ne fonctionne pas après la migration, c’est probablement parce que nous ne pouvons migrer chaque utilisateur qu’une seule fois. Si vous aviez des comptes sur plusieurs instances, le mot de passe de l’une de vos installations a été migré, mais pas nécessairement celle à laquelle vous essayez d’accéder.

Ne vous inquiétez pas—c’est facile à corriger ! Vous pouvez réinitialiser votre mot de passe directement depuis la page de connexion :

  1. Allez sur la page de connexion PixelUnion
  2. Cliquez sur Mot de passe oublié ? ou Réinitialiser le mot de passe
  3. Entrez votre adresse e-mail
  4. Vérifiez votre e-mail pour le lien de réinitialisation du mot de passe
  5. Suivez les instructions pour définir un nouveau mot de passe

Si vous avez besoin d’aide ou rencontrez des difficultés pour réinitialiser votre mot de passe, veuillez contacter notre équipe de support. Nous sommes là pour vous aider !

Notre Voyage : D’Authentik à Keycloak

Dans notre article de blog précédent, nous avons expliqué pourquoi nous avions choisi Authentik comme notre fournisseur d’identité. Authentik est une excellente solution open source qui répondait à de nombreux critères : il est favorable à l’Europe, prend en charge les protocoles standard de l’industrie et fournit les fonctionnalités de sécurité dont nous avions besoin.

Cependant, après avoir passé un temps considérable à implémenter Authentik, nous avons découvert qu’il ne correspondait pas à nos besoins spécifiques. Bien qu’Authentik soit un excellent logiciel, nous avons rencontré des défis qui nous ont fait reconsidérer notre choix. Après une évaluation attentive, nous avons pris la décision de passer à Keycloak.

Keycloak est un fournisseur d’identité mature et éprouvé qui est utilisé par des organisations du monde entier depuis des années. Il offre :

  • Fiabilité éprouvée : Utilisé par de grandes entreprises et organisations
  • Documentation complète : Ressources étendues et soutien communautaire
  • Meilleure adéquation à notre architecture : S’aligne plus étroitement avec nos exigences techniques
  • Ensemble de fonctionnalités robuste : Toutes les fonctionnalités de sécurité dont nous avons besoin, plus de la place pour grandir

Ce changement a nécessité un temps de développement supplémentaire, mais nous sommes confiants que c’était la bonne décision pour la stabilité et la sécurité à long terme de PixelUnion.

Qu’est-ce Qui Vient Ensuite ?

Nous continuons à améliorer notre configuration de fournisseur d’identité et à ajouter de nouvelles fonctionnalités de sécurité. Si vous avez des questions ou des préoccupations concernant la migration, veuillez contacter notre équipe de support. Nous sommes là pour vous aider !

Merci de faire partie de la communauté PixelUnion. Votre sécurité et votre vie privée restent nos priorités absolues.