My Quest for the Perfect Multi-Master Identity Provider

A Journey of Authentication and Discovery

I’ve always been fascinated by the concept of identity providers and authentication services. As someone who hosts services at friends’ and family members’ homes, I needed a reliable solution that could handle user authentication across multiple sites. My search led me to explore various options, including Authentik and KanIDM, each with its strengths and weaknesses.

I started with Authentik, which offered a comfortable management UI and a robust set of features. However, as my requirements evolved, I realized that I needed a multi-master replication solution that could provide fast local authentication, even during WAN outages. That’s when I discovered KanIDM, an open-source provider that fit my needs perfectly. With its Unix daemon, I could use the same accounts to authenticate on my Linux servers, making it an attractive choice.

The KanIDM Advantage

KanIDM’s multi-master replication feature allows each site to have its own instance, ensuring that users can access services quickly, even when the WAN connection is down. This was a crucial requirement for me, as some of my services, like Frigate NVR and Home Assistant, are essential for daily use. The fact that KanIDM is lightweight and feature-rich made it an excellent choice, despite its lack of a native OIDC/OAuth provider.

One of the significant advantages of KanIDM is its ability to provide a seamless authentication experience, even in the absence of a WAN connection. This is particularly important for services like Frigate, which doesn’t currently support a separate “Login with OIDC” button. With KanIDM, I can ensure that users can access these services without interruption, making it an essential component of my setup.

The Challenges of KanIDM

While KanIDM has been a great choice for my needs, it’s not without its challenges. The lack of a comfortable management UI, similar to what Authentik offers, can make it difficult to manage users and applications. Additionally, the absence of an onboarding UI means that new users have to be manually created and provided with a signup link, which can be time-consuming. Despite these limitations, I’ve found that the advantages of KanIDM outweigh its disadvantages, particularly since I don’t have to create new users or applications frequently.

Lessons Learned and Future Directions

Throughout my journey, I’ve learned the importance of evaluating my requirements and choosing a solution that meets my specific needs. While Authentik was a great choice initially, KanIDM’s multi-master replication feature and lightweight design made it a better fit for my evolving requirements. As I continue to explore and refine my setup, I’m excited to see how KanIDM will evolve and address some of its current limitations.

For now, I’m happy to have found a solution that provides the necessary functionality and reliability for my services. I’m curious to hear from others who have faced similar challenges and how they’ve approached them. What solutions have you found effective for multi-master identity providers and authentication services? Share your experiences and insights, and let’s continue the conversation.

Moja Łowca za Idealnym Dostawcą Tożsamości z Funkcją Multi-Master

Podróż odkryć i uwierzytelniania

Zawsze byłem fascynowany pojęciem dostawców tożsamości i usług uwierzytelniania. Jako osoba, która hostuje usługi u znajomych i członków rodziny, potrzebowałem niezawodnego rozwiązania, które mogłoby obsługiwać uwierzytelnianie użytkowników na wielu stronach. Moja wyszukiwarka doprowadziła mnie do eksploracji różnych opcji, w tym Authentik i KanIDM, każdy z własnymi mocnymi i słabymi stronami.

Rozpocząłem od Authentik, który oferował wygodny interfejs zarządzania i solidny zestaw funkcji. Jednak w miarę jak moje wymagania ewoluowały, zrozumiałem, że potrzebuję rozwiązania z funkcją replikacji multi-master, które mogłoby zapewnić szybkie lokalne uwierzytelnianie, nawet podczas awarii połączenia WAN. To było moment, w którym odkryłem KanIDM, dostawcę open-source, który idealnie odpowiadał moim potrzebom. Z jego demona Unix, mógłbym używać tych samych kont do uwierzytelniania na moich serwerach Linux, co czyniło go atrakcyjnym wyborem.

Przewaga KanIDM

Funkcja replikacji multi-master KanIDM pozwala każdej stronie mieć własną instancję, zapewniając, że użytkownicy mogą uzyskać dostęp do usług szybko, nawet gdy połączenie WAN jest awaryjne. Było to kluczowe wymaganie dla mnie, ponieważ niektóre z moich usług, takie jak Frigate NVR i Home Assistant, są niezbędne do codziennego użytku. Fakt, że KanIDM jest lekki i w pełni funkcjonalny, czynił go doskonałym wyborem, pomimo braku natywnego dostawcy OIDC/OAuth.

Jednym z największych zalet KanIDM jest jego zdolność do zapewnienia bezproblemowego doświadczenia uwierzytelniania, nawet w przypadku braku połączenia WAN. Jest to szczególnie ważne dla usług takich jak Frigate, które nie obsługują osobnego przycisku “Logowanie z OIDC”. Z KanIDM, mogę zagwarantować, że użytkownicy będą mogli uzyskać dostęp do tych usług bez przerw, co czyni go niezbędnym elementem mojej konfiguracji.

Wyzwania KanIDM

Pomimo że KanIDM był doskonałym wyborem dla moich potrzeb, nie jest pozbawiony wyzwań. Brak wygodnego interfejsu zarządzania, podobnego do tego, co oferuje Authentik, może utrudniać zarządzanie użytkownikami i aplikacjami. Ponadto, brak interfejsu onboardingu oznacza, że nowi użytkownicy muszą być tworzeni ręcznie i zapewnieni linkiem rejestracyjnym, co może być czasochłonne. Pomimo tych ograniczeń, stwierdziłem, że zalety KanIDM przewyższają jego wady, szczególnie ponieważ nie muszę często tworzyć nowych użytkowników lub aplikacji.

Lekcje i kierunki rozwoju

W trakcie mojej podróży, nauczyłem się oceniać moje wymagania i wybierać rozwiązanie, które spełnia moje konkretnie potrzeby. Podczas gdy Authentik był doskonałym wyborem początkowo, funkcja replikacji multi-master KanIDM i lekka konstrukcja czyniły go lepszym wyborem dla moich ewoluujących wymagań. W miarę jak będę kontynuował eksplorację i doskonalenie mojej konfiguracji, jestem zainteresowany, jak KanIDM będzie ewoluował i rozwiązywał niektóre z jego obecnych ograniczeń.

Na razie jestem zadowolony, że znalazłem rozwiązanie, które zapewnia niezbędną funkcjonalność i niezawodność dla moich usług. Jestem ciekawy, aby usłyszeć od innych, którzy spotkali podobne wyzwania i jak je rozwiązali. Jakie rozwiązania okazały się skuteczne dla dostawców tożsamości z funkcją multi-master i usług uwierzytelniania? Podziel się swoimi doświadczeniami i spostrzeżeniami, a będziemy kontynuować rozmowę.