Hem
Om oss
Open source Mobilappar Vanliga frågor Migrera från Google Photos Om PixelUnion
Priser Blogg
Hjälpcenter
Konto Immich Övrigt Kontakta support
Get Started
deep-dive development

Migrera till Keycloak: Vår resa till förbättrad säkerhet

Jochem
7 min read
#Keycloak #Identity Provider #IDP #Security #2FA #Migration #Immich
Migrera till Keycloak: Vår resa till förbättrad säkerhet

Migrera till Keycloak: Vår resa till förbättrad säkerhet

Medan vi fortsätter bygga PixelUnion—ditt integritetsfokuserade Google Photos-alternativ från Europa—arbetar vi ständigt med att förbättra säkerhet och användarupplevelse. Idag vill vi dela en viktig uppdatering om vår identitetsleverantörsmigrering och vad det betyder för dig.

Varför vi behöver en identitetsleverantör

Vår plattform är byggd på Immich, en otrolig öppen källkod fotohanteringslösning. Immich är dock designad med en specifik filosofi: den fokuserar på att vara den bästa fotohanteringsprogramvaran, inte på att uppfinna identitetshantering på nytt.

Immich stödjer inte tvåfaktorsautentisering (2FA) eller andra avancerade säkerhetsfunktioner genom design. Detta är inte en brist—det är ett medvetet arkitektoniskt val. Immich-teamet tror, och vi håller helt med, att att köra en identitetsleverantör är komplext arbete som bör hanteras av specialiserad programvara som underhålls av säkerhetsprofessionella. Detta låter Immich fokusera på vad den gör bäst: hantera dina foton och videor.

Men som en SaaS-plattform som betjänar tusentals användare behöver vi avancerade säkerhetsfunktioner som Immich inte tillhandahåller:

  • Tvåfaktorsautentisering (2FA): Skydda konton med tidsbaserade engångslösenord (TOTP) från autentiseringsappar
  • Passkeys: Modern, lösenordslös autentisering
  • Avancerad användarhantering: Bjuda in familj och vänner med korrekta kontoflöden
  • Enterprise-grade säkerhet: Uppfylla säkerhetsstandarderna våra användare förväntar sig

Det är därför vi beslutade att implementera vår egen identitetsleverantör.

Vanliga frågor

Vad betyder denna migrering för mig?

För de flesta användare är migreringen sömlös. Dina kontouppgifter förblir desamma och du kan fortsätta använda PixelUnion precis som tidigare. Den huvudsakliga skillnaden är att du nu har tillgång till förbättrade säkerhetsfunktioner som tvåfaktorsautentisering.

När du loggar in kommer du att omdirigeras till vårt nya Keycloak-baserade inloggningssystem. Ditt användarnamn och lösenord fungerar precis som tidigare—inga ändringar behövs från din sida.

Varför är denna migrering nödvändig?

Denna migrering är nödvändig eftersom:

  1. Säkerhet: Immich stödjer inte 2FA eller avancerade säkerhetsfunktioner genom design. Vi behöver dessa funktioner för att skydda dina konton ordentligt.
  2. Användarupplevelse: En extern identitetsleverantör låter oss erbjuda funktioner som lösenordsåterställning, kontohantering och säkra användarinbjudningar.
  3. Efterlevnad: Som en europeisk tjänst som hanterar personuppgifter behöver vi enterprise-grade identitetshantering som uppfyller regelkrav.
  4. Framtidssäkerhet: En dedikerad identitetsleverantör ger oss flexibiliteten att lägga till nya säkerhetsfunktioner när de blir tillgängliga.

Vi stödjer Immichs beslut att fokusera på fotohantering snarare än identitetshantering. Denna separation av ansvar är bra programvaruarkitektur, men det betyder att vi behöver hantera identitet separat.

Hur aktiverar jag tvåfaktorsautentisering?

Nu när vi har migrerat till Keycloak kan du aktivera tvåfaktorsautentisering för att lägga till ett extra säkerhetslager till ditt konto. Så här gör du:

  1. Gå till PixelUnion-kontosäkerhetssidan
  2. Logga in med ditt användarnamn och lösenord
  3. I avsnittet Inloggning hittar du Tvåfaktorsautentisering eller Autentiseringsapplikation
  4. Klicka på Konfigurera autentiseringsapplikation
  5. Skanna QR-koden med din autentiseringsapp (som Aegis Authenticator, 2FAS, Google Authenticator, Microsoft Authenticator eller Authy)
  6. Ange den 6-siffriga koden från din app för att verifiera
  7. Viktigt: Spara dina säkerhetskopieringskoder på en säker plats

För detaljerade steg-för-steg-instruktioner, se vår Tvåfaktorsautentiseringsguide.

Varför behövde jag inte återställa mitt lösenord?

Bra fråga! Du behövde inte återställa ditt lösenord eftersom vi framgångsrikt migrerade dina lösenordshashar från Immich till Keycloak.

Så här fungerar det och varför det är säkert:

Hur lösenordshashing fungerar

När du skapar ett konto lagras ditt lösenord aldrig i klartext. Istället bearbetas det genom en kryptografisk hashfunktion (i detta fall bcrypt2) som konverterar ditt lösenord till en unik sträng av tecken. Denna hash är en envägsfunktion—du kan inte vända den för att få det ursprungliga lösenordet.

Migreringsprocessen

Både Immich och Keycloak använder samma lösenordshashalgoritm: bcrypt2 (även känd som bcrypt med versionsidentifierare $2b$). Detta betyder:

  1. Din lösenordshash från Immich är i ett format som Keycloak förstår
  2. Vi kan kopiera din hash direkt från Immichs databas till Keycloaks databas
  3. Keycloak kan verifiera ditt lösenord med samma hash utan att behöva det ursprungliga lösenordet

Varför detta är säkert

  • Ingen lösenordsexponering: Vi ser eller hanterar aldrig ditt faktiska lösenord—bara hashen
  • Samma säkerhetsnivå: Hashformatet är identiskt, så det finns ingen säkerhetsförsämring
  • Industristandard: bcrypt2 är en väletablerad, säker hash-algoritm som används av miljontals applikationer
  • Ingen klartextlagring: Ditt lösenord lagrades aldrig i klartext tidigare, och det gör det inte nu heller

Denna migreringsmetod är standardpraxis i branschen och används av stora plattformar vid övergångar mellan identitetsleverantörer. Det är säkert, sömlöst och kräver ingen åtgärd från dig.

Kommer jag att märka några förändringar när jag loggar in?

Inloggningsupplevelsen är mycket lik den tidigare. Du anger fortfarande ditt användarnamn och lösenord, men du kommer att omdirigeras till vår Keycloak-baserade inloggningssida. URL:en visar login.pixelunion.eu istället för ditt instansdomän. När du har loggat in omdirigeras du sömlöst tillbaka till din PixelUnion-instans.

Vad händer om jag har problem med att logga in efter migreringen?

Om du upplever problem med att logga in:

  1. Dubbelkolla dina uppgifter: Se till att du använder samma användarnamn och lösenord som tidigare
  2. Rensa din webbläsarcache: Ibland kan cachade inloggningssidor orsaka problem
  3. Prova en annan webbläsare: Detta hjälper till att utesluta webbläsarspecifika problem
  4. Kontrollera webbläsartillägg: Vissa lösenordshanterare eller säkerhetstillägg kan störa
  5. Kontakta support: Om inget av ovanstående fungerar, kontakta vårt supportteam—vi är här för att hjälpa!

Är min data säker under migreringen?

Absolut. Migreringsprocessen:

  • Påverkar inte dina foton eller videor: All din media förblir orörd i din Immich-instans
  • Migrerar endast autentiseringsdata: Vi överför endast kontouppgifter (användarnamn och lösenordshash)
  • Sker säkert: Migreringen utförs med säkra, krypterade anslutningar
  • Är grundligt testad: Vi har omfattande testat migreringsprocessen innan vi rullar ut den

Din dataintegritet och säkerhet förblir våra högsta prioriteringar under denna process.

Behöver jag uppdatera några appar eller integrationer?

Mobilappar: Om du använder Immich-mobilappen kan du behöva logga ut och logga in igen en gång efter migreringen. Dina sparade uppgifter bör fortsätta fungera.

API-nycklar: Om du använder API-nycklar för integrationer förblir dessa oförändrade och fortsätter att fungera som tidigare.

Tredjepartsintegrationer: Alla integrationer som använder OAuth eller OpenID Connect fungerar automatiskt med det nya Keycloak-systemet, eftersom det använder samma industristandardprotokoll.

Vad händer med mina befintliga inloggningssessioner?

Aktiva sessioner kan loggas ut under migreringen. Detta är en säkerhetsåtgärd för att säkerställa att alla sessioner korrekt autentiseras med det nya systemet. Logga bara in igen med dina befintliga uppgifter—ingen lösenordsåterställning behövs.

Kommer detta att påverka familjemedlemmar eller vänner som delar mitt konto?

Om du har delat dina kontouppgifter med familj eller vänner behöver de använda det nya inloggningssystemet, men deras åtkomst förblir densamma. Vi rekommenderar att varje person har sitt eget konto för bättre säkerhet. Med Keycloak kan vi nu stödja korrekta multi-user-inställningar med individuella konton och behörigheter.

Är 2FA obligatoriskt, eller kan jag välja bort det?

Tvåfaktorsautentisering är valfritt men starkt rekommenderat. Vi uppmuntrar starkt alla användare att aktivera 2FA för förbättrad kontosäkerhet, men det är inte obligatoriskt. Du kan aktivera det när som helst från din Kontosäkerhetssida.

Jag har flera PixelUnion-instanser och mitt lösenord fungerar inte. Vad ska jag göra?

Om du har flera PixelUnion-instanser och upptäcker att ditt lösenord inte fungerar efter migreringen beror detta sannolikt på att vi bara kan migrera varje användare en gång. Om du hade konton på flera instanser migrerades lösenordet från en av dina installationer, men inte nödvändigtvis den du försöker komma åt.

Oroa dig inte—detta är lätt att fixa! Du kan återställa ditt lösenord direkt från inloggningssidan:

  1. Gå till PixelUnion-inloggningssidan
  2. Klicka på Glömt lösenord? eller Återställ lösenord
  3. Ange din e-postadress
  4. Kontrollera din e-post för lösenordsåterställningslänken
  5. Följ instruktionerna för att ange ett nytt lösenord

Om du behöver hjälp eller har problem med att återställa ditt lösenord, vänligen kontakta vårt supportteam. Vi är här för att hjälpa!

Vår resa: Från Authentik till Keycloak

I vårt tidigare blogginlägg förklarade vi varför vi valde Authentik som vår identitetsleverantör. Authentik är en utmärkt öppen källkod lösning som kryssade i många rutor: den är europeiskt vänlig, stödjer industristandardprotokoll och tillhandahåller säkerhetsfunktionerna vi behövde.

Efter att ha lagt ner betydande tid på att implementera Authentik upptäckte vi dock att det inte var rätt passform för våra specifika behov. Även om Authentik är utmärkt programvara stötte vi på utmaningar som fick oss att ompröva vårt val. Efter noggrann utvärdering fattade vi beslutet att byta till Keycloak.

Keycloak är en mogen, beprövad identitetsleverantör som har använts av organisationer världen över i åratal. Den erbjuder:

  • Beprövad tillförlitlighet: Används av stora företag och organisationer
  • Omfattande dokumentation: Omfattande resurser och communitysupport
  • Bättre passform för vår arkitektur: Stämmer bättre överens med våra tekniska krav
  • Robust funktionsuppsättning: Alla säkerhetsfunktioner vi behöver, plus utrymme att växa

Detta byte krävde extra utvecklingstid, men vi är säkra på att det var rätt beslut för långsiktig stabilitet och säkerhet för PixelUnion.

Vad händer härnäst?

Vi fortsätter att förbättra vår identitetsleverantörsinställning och lägga till nya säkerhetsfunktioner. Om du har några frågor eller bekymmer om migreringen, vänligen kontakta vårt supportteam. Vi är här för att hjälpa!

Tack för att du är en del av PixelUnion-gemenskapen. Din säkerhet och integritet förblir våra högsta prioriteringar.