Home
Over ons
Open source Mobiele apps Veelgestelde vragen Migreren vanaf Google Foto's Over PixelUnion
Prijzen Blog
Helpcentrum
Account Immich Overige Contact opnemen met support
Get Started
deep-dive development

Migreren naar Keycloak: Onze Reis naar Verbeterde Beveiliging

Jochem
8 min read
#Keycloak #Identity Provider #IDP #Security #2FA #Migration #Immich
Migreren naar Keycloak: Onze Reis naar Verbeterde Beveiliging

Migreren naar Keycloak: Onze Reis naar Verbeterde Beveiliging

Terwijl we blijven bouwen aan PixelUnion—je privacy-gerichte Google Photos-alternatief uit Europa—werken we constant aan het verbeteren van beveiliging en gebruikerservaring. Vandaag willen we een belangrijke update delen over onze identity provider-migratie en wat dit voor jou betekent.

Waarom We een Identity Provider Nodig Hebben

Ons platform is gebouwd op Immich, een geweldige open-source foto-beheersoplossing. Immich is echter ontworpen met een specifieke filosofie: het focust op het beste foto-beheersoftware zijn, niet op het opnieuw uitvinden van identiteitsbeheer.

Immich ondersteunt geen tweefactorauthenticatie (2FA) of andere geavanceerde beveiligingsfuncties door ontwerp. Dit is geen fout—het is een bewuste architecturale keuze. Het Immich-team gelooft, en wij zijn het daar volledig mee eens, dat het runnen van een identity provider complex werk is dat moet worden afgehandeld door gespecialiseerde software die wordt onderhouden door beveiligingsprofessionals. Dit stelt Immich in staat zich te concentreren op waar het het beste in is: het beheren van je foto’s en video’s.

Maar als SaaS-platform dat duizenden gebruikers bedient, hebben we geavanceerde beveiligingsfuncties nodig die Immich niet biedt:

  • Tweefactorauthenticatie (2FA): Accounts beschermen met tijdgebaseerde eenmalige wachtwoorden (TOTP) van authenticator-apps
  • Passkeys: Moderne, wachtwoordloze authenticatie
  • Geavanceerd gebruikersbeheer: Familie en vrienden uitnodigen met juiste accountflows
  • Enterprise-grade beveiliging: Voldoen aan de beveiligingsstandaarden die onze gebruikers verwachten

Daarom besloten we onze eigen identity provider te implementeren.

Veelgestelde Vragen

Wat betekent deze migratie voor mij?

Voor de meeste gebruikers is de migratie naadloos. Je accountgegevens blijven hetzelfde en je kunt PixelUnion precies zo blijven gebruiken als voorheen. Het belangrijkste verschil is dat je nu toegang hebt tot verbeterde beveiligingsfuncties zoals tweefactorauthenticatie.

Wanneer je inlogt, word je doorgestuurd naar ons nieuwe Keycloak-gebaseerde inlog systeem. Je gebruikersnaam en wachtwoord werken precies zoals voorheen—geen wijzigingen nodig aan jouw kant.

Waarom is deze migratie noodzakelijk?

Deze migratie is noodzakelijk omdat:

  1. Beveiliging: Immich ondersteunt geen 2FA of geavanceerde beveiligingsfuncties door ontwerp. We hebben deze functies nodig om je accounts goed te beschermen.
  2. Gebruikerservaring: Een externe identity provider stelt ons in staat functies aan te bieden zoals wachtwoordherstel, accountbeheer en veilige gebruikersuitnodigingen.
  3. Naleving: Als Europese dienst die persoonsgegevens verwerkt, hebben we enterprise-grade identiteitsbeheer nodig dat voldoet aan regelgevingsvereisten.
  4. Toekomstbestendigheid: Een toegewijde identity provider geeft ons de flexibiliteit om nieuwe beveiligingsfuncties toe te voegen zodra ze beschikbaar komen.

We ondersteunen Immich’s beslissing om te focussen op fotobeheer in plaats van identiteitsbeheer. Deze scheiding van verantwoordelijkheden is goede software-architectuur, maar het betekent dat we identiteit apart moeten afhandelen.

Hoe schakel ik tweefactorauthenticatie in?

Nu we zijn gemigreerd naar Keycloak, kun je tweefactorauthenticatie inschakelen om een extra beveiligingslaag aan je account toe te voegen. Zo doe je dat:

  1. Ga naar de PixelUnion Accountbeveiliging pagina
  2. Log in met je gebruikersnaam en wachtwoord
  3. Zoek in het Inloggen gedeelte naar Tweefactorauthenticatie of Authenticator Applicatie
  4. Klik op Authenticator Applicatie instellen
  5. Scan de QR-code met je authenticator-app (zoals Aegis Authenticator, 2FAS, Google Authenticator, Microsoft Authenticator of Authy)
  6. Voer de 6-cijferige code van je app in om te verifiëren
  7. Belangrijk: Bewaar je back-upcodes op een veilige locatie

Voor gedetailleerde stap-voor-stap instructies, zie onze Tweefactorauthenticatie gids.

Waarom hoefde ik mijn wachtwoord niet opnieuw in te stellen?

Goede vraag! Je hoefde je wachtwoord niet opnieuw in te stellen omdat we je wachtwoordhashes succesvol hebben gemigreerd van Immich naar Keycloak.

Hier is hoe het werkt en waarom het veilig is:

Hoe Wachtwoord Hashing Werkt

Wanneer je een account aanmaakt, wordt je wachtwoord nooit in platte tekst opgeslagen. In plaats daarvan wordt het verwerkt door een cryptografische hashfunctie (in dit geval bcrypt2) die je wachtwoord omzet in een unieke reeks tekens. Deze hash is een eenrichtingsfunctie—je kunt het niet omkeren om het oorspronkelijke wachtwoord te krijgen.

Het Migratieproces

Zowel Immich als Keycloak gebruiken hetzelfde wachtwoord-hashingalgoritme: bcrypt2 (ook wel bekend als bcrypt met versie-identificatie $2b$). Dit betekent:

  1. Je wachtwoordhash van Immich is in een formaat dat Keycloak begrijpt
  2. We kunnen je hash direct kopiëren van Immich’s database naar Keycloak’s database
  3. Keycloak kan je wachtwoord verifiëren met dezelfde hash zonder het oorspronkelijke wachtwoord nodig te hebben

Waarom Dit Veilig Is

  • Geen wachtwoordblootstelling: We zien of hanteren je werkelijke wachtwoord nooit—alleen de hash
  • Zelfde beveiligingsniveau: Het hashformaat is identiek, dus er is geen beveiligingsdegradatie
  • Industriestandaard: bcrypt2 is een goed gevestigd, veilig hashingalgoritme dat door miljoenen applicaties wordt gebruikt
  • Geen platte tekstopslag: Je wachtwoord werd nooit in platte tekst opgeslagen, en dat is nu nog steeds niet het geval

Deze migratieaanpak is standaardpraktijk in de industrie en wordt gebruikt door grote platforms bij overgangen tussen identity providers. Het is veilig, naadloos en vereist geen actie van jou.

Zal ik veranderingen merken bij het inloggen?

De inlogervaring is zeer vergelijkbaar met voorheen. Je voert nog steeds je gebruikersnaam en wachtwoord in, maar je wordt doorgestuurd naar onze Keycloak-gebaseerde inlogpagina. De URL toont login.pixelunion.eu in plaats van je instance-domein. Eenmaal ingelogd word je naadloos doorgestuurd terug naar je PixelUnion-instance.

Wat als ik problemen heb met inloggen na de migratie?

Als je problemen ondervindt bij het inloggen:

  1. Controleer je gegevens: Zorg ervoor dat je dezelfde gebruikersnaam en wachtwoord gebruikt als voorheen
  2. Wis je browsercache: Soms kunnen gecachte inlogpagina’s problemen veroorzaken
  3. Probeer een andere browser: Dit helpt om browser-specifieke problemen uit te sluiten
  4. Controleer browserextensies: Sommige wachtwoordbeheerders of beveiligingsextensies kunnen interfereren
  5. Neem contact op met support: Als geen van bovenstaande werkt, neem contact op met ons supportteam—we staan voor je klaar!

Is mijn data veilig tijdens de migratie?

Absoluut. Het migratieproces:

  • Heeft geen invloed op je foto’s of video’s: Al je media blijft onaangeroerd in je Immich-instance
  • Migreert alleen authenticatiegegevens: We transfereren alleen accountgegevens (gebruikersnaam en wachtwoordhash)
  • Gebeurd veilig: De migratie wordt uitgevoerd met veilige, versleutelde verbindingen
  • Is grondig getest: We hebben het migratieproces uitgebreid getest voordat we het uitrolen

Je gegevensprivacy en beveiliging blijven onze hoogste prioriteiten gedurende dit proces.

Moet ik apps of integraties bijwerken?

Mobiele apps: Als je de Immich mobiele app gebruikt, moet je mogelijk eenmaal uitloggen en weer inloggen na de migratie. Je opgeslagen gegevens zouden moeten blijven werken.

API-sleutels: Als je API-sleutels gebruikt voor integraties, blijven deze ongewijzigd en werken ze zoals voorheen.

Integraties van derden: Alle integraties die OAuth of OpenID Connect gebruiken werken automatisch met het nieuwe Keycloak-systeem, omdat het dezelfde industriestandaardprotocollen gebruikt.

Wat gebeurt er met mijn bestaande inlogsessies?

Actieve sessies kunnen worden uitgelogd tijdens de migratie. Dit is een beveiligingsmaatregel om ervoor te zorgen dat alle sessies correct worden geverifieerd met het nieuwe systeem. Log gewoon opnieuw in met je bestaande gegevens—geen wachtwoordreset nodig.

Zal dit invloed hebben op familieleden of vrienden die mijn account delen?

Als je je accountgegevens hebt gedeeld met familie of vrienden, moeten ze het nieuwe inlogsysteem gebruiken, maar hun toegang blijft hetzelfde. We raden aan dat elke persoon zijn eigen account heeft voor betere beveiliging. Met Keycloak kunnen we nu juiste multi-user setups ondersteunen met individuele accounts en machtigingen.

Is 2FA verplicht, of kan ik me afmelden?

Tweefactorauthenticatie is optioneel maar zeer aanbevolen. We moedigen alle gebruikers sterk aan om 2FA in te schakelen voor verbeterde accountbeveiliging, maar het is niet verplicht. Je kunt het op elk moment inschakelen vanaf je Accountbeveiliging pagina.

Ik heb meerdere PixelUnion-instances en mijn wachtwoord werkt niet. Wat moet ik doen?

Als je meerdere PixelUnion-instances hebt en merkt dat je wachtwoord niet werkt na de migratie, komt dit waarschijnlijk omdat we elke gebruiker slechts één keer kunnen migreren. Als je accounts op meerdere instances had, werd het wachtwoord van één van je installaties gemigreerd, maar niet noodzakelijkerwijs degene die je probeert te openen.

Maak je geen zorgen—dit is gemakkelijk op te lossen! Je kunt je wachtwoord direct vanaf de inlogpagina opnieuw instellen:

  1. Ga naar de PixelUnion inlogpagina
  2. Klik op Wachtwoord vergeten? of Wachtwoord opnieuw instellen
  3. Voer je e-mailadres in
  4. Controleer je e-mail voor de wachtwoordresetlink
  5. Volg de instructies om een nieuw wachtwoord in te stellen

Als je hulp nodig hebt of problemen ondervindt bij het opnieuw instellen van je wachtwoord, neem dan contact op met ons supportteam. We staan voor je klaar!

Onze Reis: Van Authentik naar Keycloak

In ons vorige blogbericht, legden we uit waarom we Authentik kozen als onze identity provider. Authentik is een geweldige open-source oplossing die veel vakjes aanvinkte: het is Europees-vriendelijk, ondersteunt industriestandaardprotocollen en biedt de beveiligingsfuncties die we nodig hadden.

Na aanzienlijke tijd te hebben besteed aan het implementeren van Authentik, ontdekten we echter dat het niet de juiste keuze was voor onze specifieke behoeften. Hoewel Authentik uitstekende software is, kwamen we uitdagingen tegen die ons deden heroverwegen. Na zorgvuldige evaluatie namen we de beslissing om over te stappen naar Keycloak.

Keycloak is een volwassen, bewezen identity provider die al jaren door organisaties wereldwijd wordt gebruikt. Het biedt:

  • Bewezen betrouwbaarheid: Gebruikt door grote bedrijven en organisaties
  • Uitgebreide documentatie: Uitgebreide bronnen en community-ondersteuning
  • Betere pasvorm voor onze architectuur: Sluit beter aan bij onze technische vereisten
  • Robuuste functieset: Alle beveiligingsfuncties die we nodig hebben, plus ruimte om te groeien

Deze overstap vereiste extra ontwikkeltijd, maar we zijn ervan overtuigd dat het de juiste beslissing was voor de langetermijnstabiliteit en beveiliging van PixelUnion.

Wat Volgt Er?

We blijven ons identity provider-systeem verbeteren en nieuwe beveiligingsfuncties toevoegen. Als je vragen of zorgen hebt over de migratie, neem dan contact op met ons supportteam. We staan voor je klaar!

Bedankt dat je deel uitmaakt van de PixelUnion-community. Je beveiliging en privacy blijven onze hoogste prioriteiten.