Accueil
À propos
Open Source Applications mobiles Questions fréquentes Migrer depuis Google Photos À propos de PixelUnion
Tarifs FAQ Blog Support
Get Started
deep-dive development

Les clés de notre château européen : pourquoi nous avons choisi Authentik pour PixelUnion (et Immich !)

Jochem
3 min read
#Immich #PixelUnions #Authentik #Identity Provider #IDP #Security #Privacy
Les clés de notre château européen : pourquoi nous avons choisi Authentik pour PixelUnion (et Immich !)

Les clés de notre château européen : pourquoi nous avons choisi Authentik pour PixelUnion (et Immich !)

Nous opérons PixelUnion – votre alternative européenne à Google Photos centrée sur la confidentialité. Toute notre démarche repose sur la conviction que l’Europe doit pouvoir compter sur elle-même et que les technologies construites ici peuvent rivaliser avec leurs équivalents américains.

Dans toute plateforme sérieuse, un service est absolument critique pour la sécurité : le fournisseur d’identité (IDP). Cette couche détient l’identité de nos utilisateurs et les clés de leurs châteaux. Pour nous, il est essentiel qu’une telle infrastructure soit enracinée en Europe.

Alors, pourquoi Authentik ?

Le défi de l’identité dans Immich

Notre base est Immich. Excellent projet – mais il ne gère que des utilisateurs internes simples (identifiant + mot de passe) et n’intègre pas d’authentification multifacteur (MFA).

Ce n’est pas un manque : c’est un choix réfléchi. L’équipe Immich sait – comme nous – que faire tourner un IDP est un métier spécialisé pour des équipes de sécurité expérimentées. Elle se concentre sur le cœur fonctionnel d’Immich plutôt que de réinventer un problème déjà résolu.

En tant que plateforme SaaS, nous avons toutefois besoin de sécurité avancée :

  1. MFA : Support des passkeys ou tokens temporels (codes à usage unique via une appli d’authentification).
  2. Parcours utilisateur : Les utilisateurs doivent pouvoir inviter famille et amis depuis Immich. Flow : ajout dans notre tenant, e‑mail d’inscription via l’IDP, redirection vers l’instance.

Pourquoi nous avons dû le construire nous‑mêmes

Nous avons recherché un IDP européen répondant à nos critères :

  1. Européen et fiable
  2. Hébergeable sous notre contrôle
  3. Viable économiquement avec des milliers d’utilisateurs externes

Verdict : aucun fournisseur tiers ne cochait toutes les cases.

Restait une option réaliste : l’auto‑héberger. Nous avons évalué Keycloak, mais avons retenu Authentik.

Authentik : open source, sûr et économique

Authentik a immédiatement validé nos exigences de sécurité, de contrôle et d’évolutivité.

1. Sécurité & transparence

Authentik est pleinement open source. Transparence, contrôle et souveraineté des données : nous maîtrisons tout. Il supporte toutes les méthodes MFA nécessaires et offre des fonctionnalités avancées pour l’avenir.

2. Standards & flexibilité

Support de SAML2, OAuth2, OpenID Connect (OIDC), LDAP et Radius. Les applis n’ont pas besoin de “connaître” Authentik – seulement les protocoles standards. Tout ce qui parle OIDC fonctionne directement. Un point central d’authentification, hautement personnalisable.

3. Coûts

Authentik est gratuit et open source. À notre échelle, l’auto‑hébergement est nettement moins coûteux que la facturation par utilisateur ou authentification.

Et maintenant ? Nous construisons !

Nous sommes en phase d’implémentation. Dans les prochains mois, nous migrerons utilisateurs et plateforme vers Authentik. Priorité : bêta‑tests approfondis et durcissement via des techniques modernes.

Une expérience MFA fluide est clé. En raison de notre flow d’invitation, une légère modification du projet open source Immich sera nécessaire. Nous la proposerons et vous tiendrons informés lorsque l’intégration IDP sera prête.

Restez connectés : nouvelle étape vers une alternative photo souveraine et sécurisée, 100 % européenne !