Strona główna
O nas
Open source Aplikacje mobilne Najczęściej zadawane pytania Migracja z Google Photos O PixelUnion
Cennik Blog
Centrum Pomocy
Konto Immich Inne Skontaktuj się z pomocą
Get Started
deep-dive development

Klucze do naszego Europejskiego Zamku: Dlaczego wybraliśmy Authentik dla PixelUnion (i Immich!)

Jochem
3 min read
#Immich #PixelUnion #Authentik #Identity Provider #IDP #Security #Privacy
Klucze do naszego Europejskiego Zamku: Dlaczego wybraliśmy Authentik dla PixelUnion (i Immich!)

Klucze do naszego Europejskiego Zamku: Dlaczego wybraliśmy Authentik dla PixelUnion (i Immich!)

Prowadzimy PixelUnion — twoją skoncentrowaną na prywatności europejską alternatywę dla Google Photos. Wszystko, co robimy, opiera się na przekonaniu, że Europa powinna umieć zadbać o siebie i że technologia, którą tu budujemy, może konkurować z amerykańskimi rozwiązaniami.

Przy budowaniu platformy jest jedna usługa absolutnie kluczowa dla bezpieczeństwa: dostawca tożsamości (IDP). Ta warstwa przechowuje tożsamość naszych użytkowników i klucze do ich zamków. Dla nas jest to kluczowa wartość, że taka krytyczna infrastruktura jest zakorzeniona w Europie.

Więc: dlaczego Authentik?

Problem tożsamości w Immich

Naszą podstawą jest Immich. Fantastyczny projekt — ale obsługuje tylko prostych wewnętrznych użytkowników z nazwą użytkownika i hasłem i nie ma uwierzytelniania wieloskładnikowego (MFA).

To nie jest uchybienie; to świadomy wybór. Zespół Immich wie — i my też — że prowadzenie systemu tożsamości to odrębna dziedzina dla specjalistycznego oprogramowania i inżynierów bezpieczeństwa. Skupiają się na głównej jakości Immich; nie wynajdują koła na nowo.

Ale jako platforma SaaS potrzebujemy dodatkowego zabezpieczenia:

  1. MFA: Obsługa kluczy dostępu lub tokenów czasowych (jednorazowe kody z aplikacji uwierzytelniającej).
  2. Przepływ użytkowników: Użytkownicy muszą móc zapraszać rodzinę lub znajomych w Immich. To wymaga przepływu: dodanie użytkownika do naszego dzierżawcy, wysłanie e-maila z rejestracją IDP i po aktywacji powrót do instancji.

Dlaczego musieliśmy zbudować to sami

Gruntownie szukaliśmy europejskiego IDP spełniającego nasze wymagania:

  1. Europejski i godny zaufania
  2. Hosting pod naszą kontrolą
  3. Przystępny cenowo przy tysiącach zewnętrznych użytkowników

Po badaniu okazało się: żadna zewnętrzna strona nie spełniała wszystkich wymagań.

Więc pozostała jedna realistyczna opcja: samohostowanie. Rozważaliśmy m.in. Keycloak, ale ostatecznie wybraliśmy Authentik.

Authentik: Open Source, Bezpieczny i Opłacalny

Authentik od razu spełnił nasze wymagania dotyczące bezpieczeństwa, kontroli i wzrostu.

1. Bezpieczeństwo i otwartość

Authentik jest prawdziwie open source. To zapewnia przejrzystość i pozwala nam priorytetować kontrolę, dostosowywanie i prywatność danych. Obsługuje wszystkie metody MFA, których potrzebujemy i oferuje zaawansowane funkcje na później.

2. Standardy i elastyczność

Obsługuje SAML2, OAuth2, OpenID Connect (OIDC), LDAP i Radius. Oznacza to, że aplikacje nie muszą “znać” Authentika — tylko standardowe protokoły. Wszystko, co mówi OIDC, po prostu działa. Jeden centralny punkt uwierzytelniania, bardzo konfigurowalny.

3. Koszty

Authentik jest darmowy i open source. Samohostowanie w naszej skali jest znacznie tańsze niż ceny za użytkownika lub za uwierzytelnienie.

Co teraz? Budujemy!

Jesteśmy teraz w trakcie wdrożenia. W nadchodzących miesiącach migrujemy użytkowników i platformę do Authentik. Priorytet: dokładne testy beta i hartowanie nowoczesnymi technikami bezpieczeństwa.

Płynna konfiguracja MFA dla użytkowników końcowych jest niezbędna. Ze względu na nasz przepływ zaproszeń, konieczna jest niewielka zmiana w open-source projekcie Immich. Wniesiemy ten wkład i poinformujemy was, gdy integracja IDP będzie aktywna.

Śledźcie nas, gdy robimy ten krok w kierunku bezpiecznej, kontrolowanej przez Europę alternatywy dla zdjęć!