Home
Over ons
Open source Mobiele apps Veelgestelde vragen Migreren vanaf Google Foto's Over PixelUnion
Prijzen FAQ Blog Support
Get Started
deep-dive development

De Sleutels tot ons Europese Kasteel: Waarom We voor Authentik kozen voor PixelUnion (en Immich!)

Jochem
3 min read
#Immich #PixelUnions #Authentik #Identity Provider #IDP #Security #Privacy
De Sleutels tot ons Europese Kasteel: Waarom We voor Authentik kozen voor PixelUnion (en Immich!)

De Sleutels tot ons Europese Kasteel: Waarom We voor Authentik kozen voor PixelUnion (en Immich!)

We runnen PixelUnion – jouw privacygerichte Europese alternatief voor Google Photos. Alles wat we doen is gebaseerd op het idee dat Europa voor zichzelf moet kunnen zorgen en dat de technologie die we hier bouwen kan concurreren met Amerikaanse oplossingen.

Bij het bouwen van een platform is er één dienst die absoluut cruciaal is voor veiligheid: de Identity Provider (IDP). Deze laag bewaart de identiteit van onze gebruikers en de sleutels tot hun kastelen. Voor ons is het een kernwaarde dat zulke kritieke infrastructuur in Europa geworteld is.

Dus: waarom Authentik?

Het Identiteitsprobleem in Immich

Onze basis is Immich. Fantastisch project – maar het ondersteunt alleen eenvoudige interne gebruikers met gebruikersnaam en wachtwoord en heeft geen multi-factor authenticatie (MFA).

Dat is geen tekortkoming; het is een bewuste keuze. Het Immich-team weet – en wij ook – dat een identiteitssysteem draaien een vakgebied op zich is voor gespecialiseerde software en security- engineers. Zij focussen op Immich’ kernkwaliteit; ze heruitvinden geen wiel.

Maar als SaaS-platform hebben wij wél extra beveiliging nodig:

  1. MFA: Ondersteuning voor passkeys of tijdgebonden tokens (eenmalige codes uit een authenticator-app).
  2. Gebruikersflow: Gebruikers moeten binnen Immich familie of vrienden kunnen uitnodigen. Dat vraagt een flow: gebruiker toevoegen aan onze tenant, e-mail sturen met IDP-registratie, en na activatie terug naar de instance.

Waarom We Het Zelf Moesten Bouwen

We zochten grondig naar een Europese IDP die voldeed aan onze eisen:

  1. Europees en betrouwbaar
  2. Hosting onder onze controle
  3. Betaalbaar bij duizenden externe gebruikers

Na onderzoek bleek: geen enkele externe partij vinkte alles af.

Dus bleef er één realistische optie: zelf hosten. We keken o.a. naar Keycloak, maar kozen uiteindelijk voor Authentik.

Authentik: Open Source, Veilig en Kostenefficiënt

Authentik voldeed direct aan onze eisen voor veiligheid, controle en groei.

1. Veiligheid & Openheid

Authentik is echt open source. Dat geeft transparantie en laat ons controle, maatwerk en dataprivacy prioriteren. Het ondersteunt alle MFA-methoden die we nodig hebben en biedt geavanceerde functies voor later.

2. Standaarden & Flexibiliteit

Het ondersteunt SAML2, OAuth2, OpenID Connect (OIDC), LDAP en Radius. Dat betekent dat applicaties niet “Authentik” hoeven te kennen – alleen de standaardprotocollen. Alles wat OIDC spreekt werkt gewoon. Eén centraal punt voor authenticatie, sterk aanpasbaar.

3. Kosten

Authentik is gratis en open source. Zelf hosten is voor onze schaal aanzienlijk goedkoper dan per-gebruiker- of per-auth-prijzen.

Wat Nu? We Bouwen!

We zijn nu bezig met de implementatie. De komende maanden migreren we gebruikers en platform naar Authentik. Prioriteit: grondig beta-testen en hardening met moderne beveiligingstechnieken.

Een vloeiende MFA-configuratie voor eindgebruikers is essentieel. Door onze invite-flow is er een kleine wijziging in het open-source Immich-project nodig. We gaan die bijdragen en houden jullie op de hoogte zodra de IDP-integratie live gaat.

Blijf ons volgen terwijl we deze stap zetten naar een veilig, Europees gecontroleerd foto-alternatief!