Hem
Om oss
Open source Mobilappar Vanliga frågor Migrera från Google Photos Om PixelUnion
Priser Blogg
Hjälpcenter
Konto Immich Övrigt Kontakta support
Get Started
deep-dive development

Nycklarna till vårt europeiska slott: Varför vi valde Authentik för PixelUnion (och Immich!)

Jochem
4 min read
#Immich #PixelUnions #Authentik #Identity Provider #IDP #Security #Privacy
Nycklarna till vårt europeiska slott: Varför vi valde Authentik för PixelUnion (och Immich!)

Nycklarna till vårt europeiska slott: Varför vi valde Authentik för PixelUnion (och Immich!)

Som ni vet kör vi PixelUnion—ert integritetsfokuserade Google Photos-alternativ från Europa. Hela vår verksamhet grundas på tron att Europa bör klara sig själv, och tekniken vi bygger här kan hålla jämna steg med sina amerikanska motsvarigheter.

När du bygger en plattform finns det en tjänst som är absolut icke-förhandlingsbar för säkerhet: identitetsleverantören (IDP). Denna hörnsten håller identiteten hos våra användare och nycklarna till slotten. För oss är det ett kärnvärde att kritiska tjänster som denna måste vara baserade i Europa.

Så, låt oss prata om hur vi landade på Authentik.

Problemet med identitet i Immich

Vår grund är byggd på Immich. Immich är fantastiskt, men det är designat för att hantera endast enkla interna användare med användarnamn och lösenord, och det stödjer inte multifaktorautentisering (MFA).

Detta är inte en brist; det är ett smart designval! Immich-teamet tror—och vi håller med—att att köra en identitetsleverantör är ett stort jobb som bör göras av specialiserad programvara som underhålls av professionella och säkerhetsingenjörer. De fokuserar på Immichs kärnkvalitet och funktioner, inte på att uppfinna lösta problem på nytt.

Men eftersom vi kör en SaaS-plattform behövde vi desperat avancerad säkerhet:

  1. MFA: Vi behöver stödja funktioner som användar passkeys eller en tidsbunden token (det engångslösenord du får från att skanna en QR-kod med en autentiseringsapp).
  2. Användarflöde: Vi behöver att våra användare ska kunna bjuda in familj och vänner från inom Immich-gränssnittet. Detta betyder ett specifikt flöde: lägga till en användare till PixelUnion-tenanten, e-posta dem för att skapa ett konto med vår IDP, och sedan omdirigera dem tillbaka till deras instans.

Varför vi var tvungna att bygga det själva

Vi spenderade lite tid på att söka i ekosystemet efter en IDP som passade våra stränga, europeiskt fokuserade kriterier. Vi behövde en leverantör som var:

  1. Europeisk och pålitlig
  2. Kapabel att hosta våra behov
  3. Konkurrenskraftigt prissatt för våra externa användare (som numreras i tusentals)

Efter en grundlig sökning insåg vi att vi inte kunde hitta en extern identitetsleverantör som tillfredsställde alla fyra punkterna.

Det lämnade oss med endast ett realistiskt alternativ: att hosta vår egen identitetsleverantör. Medan vi tittade på andra aktörer som Keycloak valde vi till slut Authentik.

Authentik: Öppen källkod, säker och kostnadseffektiv

Authentik är en utmärkt IDP som omedelbart kryssade i alla våra rutor för säkerhet, kontroll och framtida tillväxt:

1. Säkerhet & Öppenhet

Authentik är ordentligt öppen källkod, vilket ger transparens och låter oss prioritera kontroll, anpassning och dataintegritet. Det ger ordentligt stöd för all multifaktorautentiseringsgrejer vi kräver, och erbjuder till och med avancerade funktioner vi tror vi kan behöva senare.

2. Industristandarder & Flexibilitet

Detta är enormt: Authentik använder kända industristandardprotokoll. Det stödjer SAML2, OAuth2, OpenID Connect (OIDC), LDAP och Radius. Varför spelar detta roll? Eftersom en applikation inte behöver stödja Authentik direkt, utan snarare de standardprotokoll den fungerar med.

I grund och botten kommer verkligen allt som stödjer OIDC att fungera med det. Denna flexibilitet betyder att vi kan hantera all vår autentisering på ett enda ställe. Dessutom beskrivs det som extremt anpassningsbart.

3. Kostnadseffektivitet

Authentik är gratis och öppen källkod. Detta betyder att vi kan hosta det själva, vilket är mycket mer kostnadseffektivt än att använda en tredjepartstjänst som tar betalt per användare eller per autentisering. Med tanke på vår användarbas är detta en betydande fördel.

Vad händer härnäst? Vi bygger det!

Vi är för närvarande i processen att bygga lösningen. Vi kommer att flytta våra användare och vår plattform till Authentik under de kommande månaderna, men vår absoluta prioritet just nu är att grundligt betatest och säkra identitetsleverantören med moderna tekniker.

För våra användare är en smidig upplevelse att konfigurera sin MFA väsentlig. På grund av hur vi behöver hantera inbjudningsflödet kommer denna övergång att behöva lite förändring för/i det öppen källkod Immich-projektet. Vi planerar att publicera dessa förändringar och kommer att hålla dig helt uppdaterad när vi fortskrider med att implementera IDP:n.

Håll utkik efter fler uppdateringar när vi finaliserar detta kritiska steg mot ett säkert, europeiskt kontrollerat fotoalternativ!