Strona główna
O nas
Open source Aplikacje mobilne Najczęściej zadawane pytania Migracja z Google Photos O PixelUnion
Cennik Blog
Centrum Pomocy
Konto Immich Inne Skontaktuj się z pomocą
Get Started
deep-dive development

Migracja do Keycloak: Nasza droga do lepszego bezpieczeństwa

Jochem
7 min read
#Keycloak #Identity Provider #IDP #Security #2FA #Migration #Immich
Migracja do Keycloak: Nasza droga do lepszego bezpieczeństwa

Migracja do Keycloak: Nasza droga do lepszego bezpieczeństwa

Kontynuując budowę PixelUnion — Twojej europejskiej alternatywy dla Google Photos nastawionej na prywatność — nieustannie pracujemy nad poprawą bezpieczeństwa i doświadczenia użytkownika. Dziś chcemy podzielić się ważną aktualizacją dotyczącą migracji naszego dostawcy tożsamości i tego, co to oznacza dla Ciebie.

Dlaczego potrzebujemy dostawcy tożsamości

Nasza platforma jest zbudowana na Immich, fantastycznym rozwiązaniu open source do zarządzania zdjęciami. Immich został jednak zaprojektowany z określoną filozofią: skupia się na byciu najlepszym oprogramowaniem do zarządzania zdjęciami, a nie na ponownym wynajdywaniu zarządzania tożsamością.

Immich nie obsługuje uwierzytelniania dwuskładnikowego (2FA) ani innych zaawansowanych funkcji bezpieczeństwa z założenia. To nie błąd — to świadomy wybór architektoniczny. Zespół Immich wierzy, i w pełni się z tym zgadzamy, że prowadzenie dostawcy tożsamości to złożona praca, którą powinno obsługiwać wyspecjalizowane oprogramowanie utrzymywane przez specjalistów ds. bezpieczeństwa. Pozwala to Immich skupić się na tym, w czym jest najlepszy: zarządzaniu Twoimi zdjęciami i filmami.

Ale jako platforma SaaS obsługująca tysiące użytkowników, potrzebujemy zaawansowanych funkcji bezpieczeństwa, których Immich nie zapewnia:

  • Uwierzytelnianie dwuskładnikowe (2FA): Ochrona kont za pomocą jednorazowych haseł czasowych (TOTP) z aplikacji uwierzytelniających
  • Klucze dostępu (Passkeys): Nowoczesne uwierzytelnianie bez hasła
  • Zaawansowane zarządzanie użytkownikami: Zapraszanie rodziny i przyjaciół z właściwymi procesami kont
  • Bezpieczeństwo klasy enterprise: Spełnianie standardów bezpieczeństwa oczekiwanych przez naszych użytkowników

Dlatego zdecydowaliśmy się na wdrożenie własnego dostawcy tożsamości.

Najczęściej zadawane pytania

Co ta migracja oznacza dla mnie?

Dla większości użytkowników migracja jest bezproblemowa. Dane Twojego konta pozostają takie same i możesz korzystać z PixelUnion dokładnie tak jak wcześniej. Najważniejsza różnica polega na tym, że masz teraz dostęp do ulepszonych funkcji bezpieczeństwa, takich jak uwierzytelnianie dwuskładnikowe.

Gdy się logujesz, zostaniesz przekierowany do naszego nowego systemu logowania opartego na Keycloak. Twoja nazwa użytkownika i hasło działają dokładnie tak jak wcześniej — nie są wymagane żadne zmiany z Twojej strony.

Dlaczego ta migracja jest konieczna?

Ta migracja jest konieczna, ponieważ:

  1. Bezpieczeństwo: Immich nie obsługuje 2FA ani zaawansowanych funkcji bezpieczeństwa z założenia. Potrzebujemy tych funkcji, aby właściwie chronić Twoje konta.
  2. Doświadczenie użytkownika: Zewnętrzny dostawca tożsamości pozwala nam oferować funkcje takie jak odzyskiwanie hasła, zarządzanie kontem i bezpieczne zaproszenia użytkowników.
  3. Zgodność z przepisami: Jako usługa europejska przetwarzająca dane osobowe potrzebujemy zarządzania tożsamością klasy enterprise, spełniającego wymogi regulacyjne.
  4. Przyszłościowość: Dedykowany dostawca tożsamości daje nam elastyczność dodawania nowych funkcji bezpieczeństwa w miarę ich pojawiania się.

Popieramy decyzję Immich o skupieniu się na zarządzaniu zdjęciami zamiast zarządzaniem tożsamością. To rozdzielenie odpowiedzialności to dobra architektura oprogramowania, ale oznacza, że musimy obsługiwać tożsamość oddzielnie.

Jak włączyć uwierzytelnianie dwuskładnikowe?

Po migracji do Keycloak możesz włączyć uwierzytelnianie dwuskładnikowe, aby dodać dodatkową warstwę bezpieczeństwa do swojego konta. Oto jak to zrobić:

  1. Przejdź do strony bezpieczeństwa konta PixelUnion
  2. Zaloguj się swoją nazwą użytkownika i hasłem
  3. W sekcji Logowanie znajdź Uwierzytelnianie dwuskładnikowe lub Aplikacja uwierzytelniająca
  4. Kliknij Skonfiguruj aplikację uwierzytelniającą
  5. Zeskanuj kod QR swoją aplikacją uwierzytelniającą (np. Aegis Authenticator, 2FAS, Google Authenticator, Microsoft Authenticator lub Authy)
  6. Wprowadź 6-cyfrowy kod z aplikacji, aby zweryfikować
  7. Ważne: Przechowuj kody zapasowe w bezpiecznym miejscu

Szczegółowe instrukcje krok po kroku znajdziesz w naszym przewodniku po uwierzytelnianiu dwuskładnikowym.

Dlaczego nie musiałem resetować hasła?

Dobre pytanie! Nie musiałeś resetować hasła, ponieważ z powodzeniem przenieśliśmy hashe haseł z Immich do Keycloak.

Oto jak to działa i dlaczego jest bezpieczne:

Jak działa hashowanie haseł

Gdy zakładasz konto, Twoje hasło nigdy nie jest przechowywane w postaci zwykłego tekstu. Zamiast tego jest przetwarzane przez kryptograficzną funkcję hashującą (w tym przypadku bcrypt2), która przekształca hasło w unikalny ciąg znaków. Ten hash jest funkcją jednokierunkową — nie można go odwrócić, aby uzyskać oryginalne hasło.

Proces migracji

Zarówno Immich, jak i Keycloak używają tego samego algorytmu hashowania haseł: bcrypt2 (znanego również jako bcrypt z identyfikatorem wersji $2b$). Oznacza to:

  1. Hash Twojego hasła z Immich jest w formacie zrozumiałym dla Keycloak
  2. Możemy skopiować hash bezpośrednio z bazy danych Immich do bazy danych Keycloak
  3. Keycloak może zweryfikować Twoje hasło za pomocą tego samego hasha bez potrzeby znajomości oryginalnego hasła

Dlaczego to jest bezpieczne

  • Brak ujawnienia hasła: Nigdy nie widzimy ani nie przetwarzamy Twojego rzeczywistego hasła — tylko hash
  • Ten sam poziom bezpieczeństwa: Format hasha jest identyczny, więc nie ma degradacji bezpieczeństwa
  • Standard branżowy: bcrypt2 to dobrze ugruntowany, bezpieczny algorytm hashujący używany przez miliony aplikacji
  • Brak przechowywania w postaci jawnej: Twoje hasło nigdy nie było przechowywane w postaci zwykłego tekstu i nadal tak nie jest

To podejście migracyjne jest standardową praktyką branżową stosowaną przez duże platformy podczas przejść między dostawcami tożsamości. Jest bezpieczne, bezproblemowe i nie wymaga żadnych działań z Twojej strony.

Czy zauważę zmiany przy logowaniu?

Doświadczenie logowania jest bardzo podobne do poprzedniego. Nadal wpisujesz nazwę użytkownika i hasło, ale zostajesz przekierowany na naszą stronę logowania opartą na Keycloak. URL pokazuje login.pixelunion.eu zamiast domeny Twojej instancji. Po zalogowaniu zostajesz bezproblemowo przekierowany z powrotem do swojej instancji PixelUnion.

Co jeśli mam problemy z logowaniem po migracji?

Jeśli masz problemy z logowaniem:

  1. Sprawdź swoje dane: Upewnij się, że używasz tej samej nazwy użytkownika i hasła co wcześniej
  2. Wyczyść pamięć podręczną przeglądarki: Czasem zapisane w pamięci strony logowania mogą powodować problemy
  3. Spróbuj innej przeglądarki: Pomoże to wykluczyć problemy specyficzne dla przeglądarki
  4. Sprawdź rozszerzenia przeglądarki: Niektóre menedżery haseł lub rozszerzenia bezpieczeństwa mogą zakłócać działanie
  5. Skontaktuj się z pomocą: Jeśli nic z powyższego nie pomoże, skontaktuj się z naszym zespołem wsparcia — jesteśmy do Twojej dyspozycji!

Czy moje dane są bezpieczne podczas migracji?

Absolutnie. Proces migracji:

  • Nie wpływa na Twoje zdjęcia ani filmy: Wszystkie media pozostają nienaruszone w Twojej instancji Immich
  • Migruje tylko dane uwierzytelniające: Przenosimy wyłącznie dane konta (nazwa użytkownika i hash hasła)
  • Odbywa się bezpiecznie: Migracja jest realizowana za pomocą bezpiecznych, szyfrowanych połączeń
  • Jest dokładnie przetestowana: Proces migracji został obszernie przetestowany przed wdrożeniem

Prywatność i bezpieczeństwo Twoich danych pozostają naszymi najwyższymi priorytetami przez cały ten proces.

Czy muszę aktualizować aplikacje lub integracje?

Aplikacje mobilne: Jeśli korzystasz z aplikacji mobilnej Immich, po migracji może być konieczne jednorazowe wylogowanie i ponowne zalogowanie. Twoje zapisane dane powinny nadal działać.

Klucze API: Jeśli używasz kluczy API do integracji, pozostają one niezmienione i działają jak wcześniej.

Integracje zewnętrzne: Wszystkie integracje korzystające z OAuth lub OpenID Connect działają automatycznie z nowym systemem Keycloak, ponieważ używa on tych samych standardowych protokołów branżowych.

Co dzieje się z moimi istniejącymi sesjami logowania?

Aktywne sesje mogą zostać wylogowane podczas migracji. Jest to środek bezpieczeństwa zapewniający prawidłową weryfikację wszystkich sesji w nowym systemie. Wystarczy zalogować się ponownie istniejącymi danymi — reset hasła nie jest wymagany.

Czy to wpłynie na członków rodziny lub znajomych korzystających z mojego konta?

Jeśli udostępniłeś dane swojego konta rodzinie lub znajomym, muszą oni korzystać z nowego systemu logowania, ale ich dostęp pozostaje taki sam. Zalecamy, aby każda osoba miała własne konto dla lepszego bezpieczeństwa. Dzięki Keycloak możemy teraz obsługiwać właściwe konfiguracje wieloużytkownikowe z indywidualnymi kontami i uprawnieniami.

Czy 2FA jest obowiązkowe, czy mogę zrezygnować?

Uwierzytelnianie dwuskładnikowe jest opcjonalne, ale wysoce zalecane. Gorąco zachęcamy wszystkich użytkowników do włączenia 2FA dla lepszego bezpieczeństwa konta, ale nie jest ono obowiązkowe. Możesz je włączyć w dowolnym momencie na stronie bezpieczeństwa konta.

Mam wiele instancji PixelUnion i moje hasło nie działa. Co powinienem zrobić?

Jeśli masz wiele instancji PixelUnion i zauważysz, że hasło nie działa po migracji, prawdopodobnie dlatego, że każdego użytkownika możemy zmigrować tylko raz. Jeśli miałeś konta na wielu instancjach, hasło z jednej z Twoich instalacji zostało zmigrowane, ale niekoniecznie z tej, do której próbujesz uzyskać dostęp.

Nie martw się — to łatwe do rozwiązania! Możesz zresetować hasło bezpośrednio ze strony logowania:

  1. Przejdź do strony logowania PixelUnion
  2. Kliknij Nie pamiętasz hasła? lub Zresetuj hasło
  3. Wprowadź swój adres e-mail
  4. Sprawdź e-mail z linkiem do resetowania hasła
  5. Postępuj zgodnie z instrukcjami, aby ustawić nowe hasło

Jeśli potrzebujesz pomocy lub masz problemy z resetowaniem hasła, skontaktuj się z naszym zespołem wsparcia. Jesteśmy do Twojej dyspozycji!

Nasza droga: Od Authentik do Keycloak

W naszym poprzednim wpisie na blogu wyjaśniliśmy, dlaczego wybraliśmy Authentik jako naszego dostawcę tożsamości. Authentik to świetne rozwiązanie open source, które spełniało wiele wymogów: jest przyjazne dla Europy, obsługuje standardowe protokoły branżowe i oferuje potrzebne nam funkcje bezpieczeństwa.

Jednak po znacznym czasie spędzonym na wdrażaniu Authentik odkryliśmy, że nie jest to właściwy wybór dla naszych konkretnych potrzeb. Chociaż Authentik to doskonałe oprogramowanie, napotkaliśmy wyzwania, które skłoniły nas do ponownego przemyślenia. Po starannej ocenie podjęliśmy decyzję o przejściu na Keycloak.

Keycloak to dojrzały, sprawdzony dostawca tożsamości, który jest używany przez organizacje na całym świecie od lat. Oferuje:

  • Sprawdzona niezawodność: Używany przez duże firmy i organizacje
  • Obszerna dokumentacja: Rozbudowane zasoby i wsparcie społeczności
  • Lepsze dopasowanie do naszej architektury: Lepiej pasuje do naszych wymagań technicznych
  • Bogaty zestaw funkcji: Wszystkie potrzebne nam funkcje bezpieczeństwa, plus miejsce na rozwój

To przejście wymagało dodatkowego czasu deweloperskiego, ale jesteśmy przekonani, że była to właściwa decyzja dla długoterminowej stabilności i bezpieczeństwa PixelUnion.

Co dalej?

Kontynuujemy ulepszanie naszego systemu dostawcy tożsamości i dodawanie nowych funkcji bezpieczeństwa. Jeśli masz pytania lub obawy dotyczące migracji, skontaktuj się z naszym zespołem wsparcia. Jesteśmy do Twojej dyspozycji!

Dziękujemy, że jesteś częścią społeczności PixelUnion. Twoje bezpieczeństwo i prywatność pozostają naszymi najwyższymi priorytetami.