Início
Sobre
Código aberto Aplicativos móveis Perguntas frequentes Migrando do Google Fotos Sobre a PixelUnion
Preços Blog
Central de Ajuda
Conta Immich Outros Contatar suporte
Get Started
deep-dive development

As chaves do nosso castelo europeu: por que escolhemos o Authentik para o PixelUnion (e Immich!)

Jochem
3 min read
#Immich #PixelUnions #Authentik #Identity Provider #IDP #Security #Privacy
As chaves do nosso castelo europeu: por que escolhemos o Authentik para o PixelUnion (e Immich!)

As chaves do nosso castelo europeu: por que escolhemos o Authentik para o PixelUnion (e Immich!)

Operamos o PixelUnion – sua alternativa europeia ao Google Photos com foco em privacidade. Acreditamos que a Europa pode sustentar-se e que a tecnologia construída aqui pode competir com soluções americanas.

Em qualquer plataforma séria há um serviço crítico para a segurança: o Identity Provider (IDP). Essa camada guarda a identidade dos usuários e as chaves dos seus “castelos”. Para nós é princípio básico que essa infraestrutura permaneça na Europa.

Então: por que Authentik?

O problema de identidade no Immich

Nossa base é o Immich. Projeto excelente – mas só lida com usuários internos simples (usuário + senha) e não possui MFA (autenticação multifator).

Isso não é falha; é decisão consciente. A equipe do Immich sabe – como nós – que operar um IDP é uma especialidade para software e engenheiros de segurança dedicados. Eles focam no núcleo do Immich.

Como plataforma SaaS precisamos de segurança avançada:

  1. MFA: Suporte a passkeys ou tokens temporários (códigos de uso único via app autenticadora).
  2. Fluxo de convite: Usuários devem poder convidar família e amigos a partir do Immich. Fluxo: adicionar ao tenant, enviar e‑mail para criar conta no IDP, redirecionar de volta.

Por que tivemos de construir nós mesmos

Buscamos um IDP europeu que atendesse:

  1. Europeu e confiável
  2. Sob nosso controle de hospedagem
  3. Financeiramente viável com milhares de usuários externos

Nenhum marcou todas as caixas.

Restou uma opção: auto-hospedar. Avaliamos também Keycloak, mas escolhemos Authentik.

Authentik: open source, seguro e econômico

Authentik atendeu imediatamente a requisitos de segurança, controle e evolução.

1. Segurança & abertura

É realmente open source. Transparência e prioridade para controle, personalização e privacidade de dados. Suporta todos os métodos MFA que precisamos e oferece recursos avançados para depois.

2. Padrões & flexibilidade

Compatível com SAML2, OAuth2, OpenID Connect (OIDC), LDAP e Radius. Aplicações não precisam “suportar Authentik”, apenas os protocolos padrão. Tudo que fala OIDC funciona direto. Um ponto central de autenticação, altamente personalizável.

3. Custos

É gratuito e open source. Na nossa escala, auto‑hospedar é bem mais barato que cobrança por usuário ou autenticação.

E agora? Estamos construindo!

Estamos implementando a solução. Nos próximos meses migraremos usuários e plataforma para o Authentik. Prioridade: beta testing rigoroso e reforço com técnicas modernas.

Uma experiência fluida de configuração MFA é essencial. Pelo fluxo de convite precisaremos de uma pequena alteração no projeto open source do Immich. Vamos contribuir e manter todos informados quando a integração do IDP estiver pronta.

Acompanhe nosso avanço rumo a uma alternativa de fotos segura e soberana, 100% europeia.