Home
Informazioni
Open source App mobili Domande frequenti Migrazione da Google Foto Chi siamo
Prezzi Blog
Centro Assistenza
Account Immich Altro Contatta il supporto
Get Started
deep-dive development

Migrazione a Keycloak: Il Nostro Viaggio verso una Sicurezza Migliorata

Jochem
9 min read
#Keycloak #Identity Provider #IDP #Security #2FA #Migration #Immich
Migrazione a Keycloak: Il Nostro Viaggio verso una Sicurezza Migliorata

Migrazione a Keycloak: Il Nostro Viaggio verso una Sicurezza Migliorata

Mentre continuiamo a costruire PixelUnion—la tua alternativa europea a Google Photos focalizzata sulla privacy—lavoriamo costantemente per migliorare la sicurezza e l’esperienza utente. Oggi vogliamo condividere un aggiornamento importante sulla nostra migrazione del provider di identità e cosa significa per te.

Perché Abbiamo Bisogno di un Provider di Identità

La nostra piattaforma è costruita su Immich, un’incredibile soluzione open source per la gestione delle foto. Tuttavia, Immich è progettato con una filosofia specifica: si concentra sull’essere il miglior software di gestione foto, non sul reinventare la gestione dell’identità.

Immich non supporta l’autenticazione a due fattori (2FA) o altre funzionalità di sicurezza avanzate per design. Questo non è un difetto—è una scelta architetturale deliberata. Il team di Immich crede, e siamo completamente d’accordo, che gestire un provider di identità è un lavoro complesso che dovrebbe essere gestito da software specializzato mantenuto da professionisti della sicurezza. Questo permette a Immich di concentrarsi su ciò che fa meglio: gestire le tue foto e video.

Ma come piattaforma SaaS che serve migliaia di utenti, abbiamo bisogno di funzionalità di sicurezza avanzate che Immich non fornisce:

  • Autenticazione a due fattori (2FA): Proteggere gli account con password monouso basate sul tempo (TOTP) da app autenticatrici
  • Passkeys: Autenticazione moderna senza password
  • Gestione avanzata degli utenti: Invitare familiari e amici con flussi di account appropriati
  • Sicurezza di livello enterprise: Soddisfare gli standard di sicurezza che i nostri utenti si aspettano

Ecco perché abbiamo deciso di implementare il nostro provider di identità.

Domande Frequenti

Cosa significa questa migrazione per me?

Per la maggior parte degli utenti, la migrazione è trasparente. Le tue credenziali dell’account rimangono le stesse e puoi continuare a usare PixelUnion esattamente come prima. La differenza principale è che ora hai accesso a funzionalità di sicurezza migliorate come l’autenticazione a due fattori.

Quando accedi, sarai reindirizzato al nostro nuovo sistema di accesso basato su Keycloak. Il tuo nome utente e password funzionano esattamente come prima—nessuna modifica necessaria da parte tua.

Perché questa migrazione è necessaria?

Questa migrazione è necessaria perché:

  1. Sicurezza: Immich non supporta 2FA o funzionalità di sicurezza avanzate per design. Abbiamo bisogno di queste funzionalità per proteggere adeguatamente i tuoi account.
  2. Esperienza utente: Un provider di identità esterno ci permette di offrire funzionalità come recupero password, gestione account e inviti utente sicuri.
  3. Conformità: Come servizio europeo che gestisce dati personali, abbiamo bisogno di gestione dell’identità di livello enterprise che soddisfi i requisiti normativi.
  4. Preparazione al futuro: Un provider di identità dedicato ci dà la flessibilità di aggiungere nuove funzionalità di sicurezza non appena diventano disponibili.

Sosteniamo la decisione di Immich di concentrarsi sulla gestione delle foto piuttosto che sulla gestione dell’identità. Questa separazione delle responsabilità è una buona architettura software, ma significa che dobbiamo gestire l’identità separatamente.

Come attivo l’autenticazione a due fattori?

Ora che abbiamo migrato a Keycloak, puoi attivare l’autenticazione a due fattori per aggiungere un ulteriore livello di sicurezza al tuo account. Ecco come:

  1. Vai alla pagina Sicurezza Account PixelUnion
  2. Accedi con il tuo nome utente e password
  3. Nella sezione Accesso, cerca Autenticazione a Due Fattori o Applicazione di Autenticazione
  4. Clicca su Configura Applicazione di Autenticazione
  5. Scansiona il codice QR con la tua app di autenticazione (come Aegis Authenticator, 2FAS, Google Authenticator, Microsoft Authenticator o Authy)
  6. Inserisci il codice a 6 cifre della tua app per verificare
  7. Importante: Salva i tuoi codici di backup in un luogo sicuro

Per istruzioni dettagliate passo dopo passo, consulta la nostra guida all’autenticazione a due fattori.

Perché non ho dovuto reimpostare la mia password?

Ottima domanda! Non hai dovuto reimpostare la tua password perché abbiamo migrato con successo i tuoi hash delle password da Immich a Keycloak.

Ecco come funziona e perché è sicuro:

Come Funziona l’Hash della Password

Quando crei un account, la tua password non viene mai memorizzata in testo normale. Invece, viene elaborata attraverso una funzione hash crittografica (in questo caso, bcrypt2) che converte la tua password in una stringa unica di caratteri. Questo hash è una funzione unidirezionale—non puoi invertirlo per ottenere la password originale.

Il Processo di Migrazione

Sia Immich che Keycloak usano lo stesso algoritmo di hash delle password: bcrypt2 (noto anche come bcrypt con identificatore di versione $2b$). Questo significa:

  1. Il tuo hash della password di Immich è in un formato che Keycloak comprende
  2. Possiamo copiare il tuo hash direttamente dal database di Immich al database di Keycloak
  3. Keycloak può verificare la tua password usando lo stesso hash senza aver bisogno della password originale

Perché Questo È Sicuro

  • Nessuna esposizione della password: Non vediamo mai né gestiamo la tua password reale—solo l’hash
  • Stesso livello di sicurezza: Il formato dell’hash è identico, quindi non c’è degradazione della sicurezza
  • Standard del settore: bcrypt2 è un algoritmo hash sicuro e ben consolidato utilizzato da milioni di applicazioni
  • Nessuna memorizzazione in testo normale: La tua password non è mai stata memorizzata in testo normale prima, e non lo è nemmeno ora

Questo approccio di migrazione è una pratica standard nel settore ed è utilizzato da grandi piattaforme quando fanno transizioni tra provider di identità. È sicuro, trasparente e non richiede alcuna azione da parte tua.

Noterò cambiamenti quando accedo?

L’esperienza di accesso è molto simile a prima. Inserirai ancora il tuo nome utente e password, ma sarai reindirizzato alla nostra pagina di accesso basata su Keycloak. L’URL mostrerà login.pixelunion.eu invece del tuo dominio dell’istanza. Una volta effettuato l’accesso, sarai reindirizzato senza problemi alla tua istanza PixelUnion.

Cosa succede se ho problemi ad accedere dopo la migrazione?

Se riscontri problemi ad accedere:

  1. Verifica le tue credenziali: Assicurati di usare lo stesso nome utente e password di prima
  2. Pulisci la cache del browser: A volte le pagine di accesso in cache possono causare problemi
  3. Prova un browser diverso: Questo aiuta a escludere problemi specifici del browser
  4. Controlla le estensioni del browser: Alcuni gestori di password o estensioni di sicurezza potrebbero interferire
  5. Contatta il supporto: Se nulla di tutto ciò funziona, contatta il nostro team di supporto—siamo qui per aiutarti!

I miei dati sono al sicuro durante la migrazione?

Assolutamente. Il processo di migrazione:

  • Non influisce sulle tue foto o video: Tutti i tuoi media rimangono intatti nella tua istanza Immich
  • Migra solo i dati di autenticazione: Trasferiamo solo le credenziali dell’account (nome utente e hash della password)
  • Avviene in modo sicuro: La migrazione viene eseguita utilizzando connessioni sicure e crittografate
  • È stato testato a fondo: Abbiamo testato il processo di migrazione approfonditamente prima di implementarlo

La tua privacy e sicurezza dei dati rimangono le nostre massime priorità durante questo processo.

Devo aggiornare app o integrazioni?

App mobili: Se stai usando l’app mobile Immich, potresti dover disconnetterti e riconnetterti una volta dopo la migrazione. Le tue credenziali salvate dovrebbero continuare a funzionare.

Chiavi API: Se stai usando chiavi API per integrazioni, queste rimangono invariate e continuano a funzionare come prima.

Integrazioni di terze parti: Qualsiasi integrazione che utilizza OAuth o OpenID Connect funzionerà automaticamente con il nuovo sistema Keycloak, poiché utilizza gli stessi protocolli standard del settore.

Cosa succede alle mie sessioni di accesso esistenti?

Le sessioni attive possono essere disconnesse durante la migrazione. Questa è una misura di sicurezza per garantire che tutte le sessioni siano correttamente autenticate con il nuovo sistema. Accedi semplicemente di nuovo con le tue credenziali esistenti—nessun reset della password necessario.

Questo influenzerà i membri della famiglia o gli amici che condividono il mio account?

Se hai condiviso le tue credenziali dell’account con familiari o amici, dovranno usare il nuovo sistema di accesso, ma il loro accesso rimane lo stesso. Raccomandiamo che ogni persona abbia il proprio account per una migliore sicurezza. Con Keycloak, ora possiamo supportare configurazioni multi-utente appropriate con account individuali e permessi.

La 2FA è obbligatoria o posso rinunciare?

L’autenticazione a due fattori è opzionale ma fortemente raccomandata. Raccomandiamo vivamente a tutti gli utenti di attivare 2FA per una sicurezza dell’account migliorata, ma non è obbligatorio. Puoi attivarla in qualsiasi momento dalla tua pagina Sicurezza Account.

Ho più istanze PixelUnion e la mia password non funziona. Cosa devo fare?

Se hai più istanze PixelUnion e scopri che la tua password non funziona dopo la migrazione, questo è probabilmente perché possiamo migrare ogni utente solo una volta. Se avevi account su più istanze, la password di una delle tue installazioni è stata migrata, ma non necessariamente quella a cui stai cercando di accedere.

Non preoccuparti—è facile da risolvere! Puoi reimpostare la tua password direttamente dalla pagina di accesso:

  1. Vai alla pagina di accesso PixelUnion
  2. Clicca su Password dimenticata? o Reimposta password
  3. Inserisci il tuo indirizzo email
  4. Controlla la tua email per il link di reimpostazione password
  5. Segui le istruzioni per impostare una nuova password

Se hai bisogno di assistenza o hai problemi a reimpostare la tua password, contatta il nostro team di supporto. Siamo qui per aiutarti!

Il Nostro Viaggio: Da Authentik a Keycloak

Nel nostro post del blog precedente, abbiamo spiegato perché abbiamo scelto Authentik come nostro provider di identità. Authentik è un’ottima soluzione open source che soddisfava molti requisiti: è amichevole con l’Europa, supporta protocolli standard del settore e fornisce le funzionalità di sicurezza di cui avevamo bisogno.

Tuttavia, dopo aver trascorso un tempo considerevole implementando Authentik, abbiamo scoperto che non era la scelta giusta per le nostre esigenze specifiche. Sebbene Authentik sia un software eccellente, abbiamo incontrato sfide che ci hanno fatto riconsiderare la nostra scelta. Dopo un’attenta valutazione, abbiamo preso la decisione di passare a Keycloak.

Keycloak è un provider di identità maturo e collaudato che è stato utilizzato da organizzazioni di tutto il mondo per anni. Offre:

  • Affidabilità provata: Utilizzato da grandi aziende e organizzazioni
  • Documentazione completa: Risorse estese e supporto della community
  • Migliore aderenza alla nostra architettura: Si allinea più strettamente ai nostri requisiti tecnici
  • Set di funzionalità robusto: Tutte le funzionalità di sicurezza di cui abbiamo bisogno, più spazio per crescere

Questo passaggio ha richiesto tempo di sviluppo aggiuntivo, ma siamo fiduciosi che sia stata la decisione giusta per la stabilità e la sicurezza a lungo termine di PixelUnion.

Cosa Viene Dopo?

Continuiamo a migliorare la nostra configurazione del provider di identità e ad aggiungere nuove funzionalità di sicurezza. Se hai domande o preoccupazioni sulla migrazione, contatta il nostro team di supporto. Siamo qui per aiutarti!

Grazie per far parte della community PixelUnion. La tua sicurezza e privacy rimangono le nostre massime priorità.