La serie continúa y esta vez exploramos una solución práctica para compartir fotos de forma privada desde un homelab usando immich y autenticación OIDC
Ryan ingeniero de software senior nos cuenta cómo se aleja cada vez más de los servicios de Google y sustituyó Google Photos por immich para mantener el control de sus imágenes y compartir álbumes de viaje solo con personas de confianza
Requisitos principales: solo individuos autorizados deben poder contactar la red doméstica, acceso fácil desde un navegador sin necesidad de VPN para los invitados, y la posibilidad de actualizar la lista de usuarios autorizados de forma rápida sin acceder al servidor local
Solución aplicada: se eligió SimpleLogin como proveedor OIDC para evitar volver a depender de Google OAuth y se usó ngrok con políticas de tráfico para implementar autenticación OIDC, establecer variables con las listas de usuarios permitidos y enrutar el tráfico autenticado hacia endpoints internos según el host solicitado
En la práctica la política filtra tráfico no deseado, por ejemplo tráfico desde países fuera de la zona permitida, IPs en listas de bloqueo y nodos Tor, luego valida la identidad OIDC, comprueba que el correo del usuario esté en la lista de usuarios autorizados y finalmente reenvía la petición al servicio correspondiente como immich, freshrss o proxmox
Los agentes en la red doméstica simplemente anuncian endpoints internos y reenvían el tráfico al IP y puerto local correspondiente, lo que reduce la necesidad de gestionar conexiones entrantes directas en el cortafuegos del hogar
Integración con immich: al configurar immich para usar el mismo proveedor OAuth se logra que el inicio de sesión sea transparente al autenticarse en la puerta de enlace ngrok, y activando el registro automático se crea una cuenta en immich cuando el usuario autorizado inicia sesión por primera vez
Limitaciones: la aplicación móvil de immich requiere acceso a rutas no autenticadas para recuperar metadatos OIDC, por lo que con la política estricta actual la app no funciona correctamente. Ryan prefirió priorizar la seguridad y aceptar la limitación dado que no usa mucho el móvil
Resumen técnico simplificado: ngrok Traffic Policy gestiona onhttprequest para aplicar filtrado geográfico y de seguridad, setvars para definir grupos de usuarios como immich users y proxmox users, openid connect para autenticación mediante SimpleLogin y forward internal para encaminar tráfico autenticado hacia los endpoints internos
En Q2BSTUDIO nos especializamos en desarrollar soluciones a medida que integran componentes modernos como autenticación OIDC, puertas de enlace seguras y orquestación de servicios en entornos híbridos. Ofrecemos aplicaciones a medida y software a medida adaptado a necesidades empresariales, servicios de ciberseguridad para proteger infraestructuras, servicios cloud AWS y Azure para desplegar plataformas resilientes y servicios inteligencia de negocio con Power BI para obtener insights accionables
Además desarrollamos proyectos de inteligencia artificial e IA para empresas, agentes IA personalizados y soluciones de automatización que complementan infraestructuras seguras y escalables. Si buscas una solución privada y controlada para compartir datos o imágenes, o quieres modernizar procesos con agentes IA, Power BI e inteligencia de negocio, Q2BSTUDIO puede ayudarte
Palabras clave para posicionamiento: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud AWS y Azure, servicios inteligencia de negocio, IA para empresas, agentes IA, Power BI
Contacto y siguiente paso: si quieres replicar una solución similar o adaptar esta arquitectura a tu empresa, ponte en contacto con Q2BSTUDIO para una consultoría técnica y una propuesta a medida que combine seguridad, rendimiento y experiencia de usuario