Blog

So aktualisieren Sie den Fingerabdruck für einen OpenID Connect Identity Provider in CloudFormation

Mark van Holsteijn

Aktualisiert Oktober 16, 2025
2 Minuten

Um den Fingerabdruck für einen OpenID Connect Provider zu aktualisieren, widmet AWS der Dokumentation drei Seiten mit manuellen Anweisungen. Aber wir sind ungeduldig und mögen keine manuellen Dinge. Deshalb haben wir
den Prozess für Sie automatisiert. In diesem Blog zeigen wir Ihnen, wie Sie den Thumbprint von OpenID Identity Providern in CloudFormation-Vorlagen schnell aktualisieren können.

Sie können dies in drei einfachen Schritten tun:

  1. installieren Sie das Dienstprogramm aws-cfn-update
  2. Definieren Sie die Open ID Provider-Ressource in CloudFormation
  3. die Liste der Fingerabdrücke aktualisieren

aws-cfn-update installieren

Um das Dienstprogramm zu installieren, geben Sie einfach ein:

$ pip install aws-cfn-update

Definieren Sie den Open-ID-Anbieter

Für die Definition eines OpenID-Providers in CloudFormation sind nur ein paar Zeilen erforderlich, wie in der folgenden Vorlage gezeigt:

AWSTemplateFormatVersion: '2010-09-09'
Resources:
  GitLabCom:
    Type: AWS::IAM::OIDCProvider
    Properties:
      Url: https://gitlab.com
      ClientIdList:
        - https://gitlab.com
      ThumbprintList:
        - i-have-not-got-the-faintest-idea

Wie Sie sehen können, haben wir einen dummen Wert für den Fingerabdruck verwendet. Speichern Sie ihn in der Datei oidc-provider.yaml.

die Liste der Fingerabdrücke aktualisieren

Um die Liste der Fingerabdrücke zu aktualisieren, geben Sie ein:

$ aws-cfn-update --verbose oidc-provider-thumbprints oidc-provider.yaml
INFO: updating fingerprint of https://gitlab.com for OIDC provider GitLabCom, CN=gitlab.com,O=Cloudflare, Inc.,L=San Francisco,ST=California,C=US issued by CN=Cloudflare Inc ECC CA-3,O=Cloudflare, Inc.,C=US
INFO: updating fingerprint of https://gitlab.com, for OIDC provider GitLabCom to 962828776ba4dc09a2a0a2b72ff9cd0bd8c33aee, valid until 2022-12-01 23:59:59

Jetzt sieht Ihre Vorlage wie folgt aus.

AWSTemplateFormatVersion: '2010-09-09'
Resources:
  GitLabCom:
    Type: AWS::IAM::OIDCProvider
    Properties:
      Url: https://gitlab.com
      ClientIdList:
        - https://gitlab.com
      ThumbprintList:
        - 962828776ba4dc09a2a0a2b72ff9cd0bd8c33aee  # valid until 2022-12-01 23:59:59

Das ist alles. Sie sind bereit zu gehen!

Fazit

Mit dem Dienstprogramm aws-cfn-update ist es ganz einfach, den Fingerabdruck des OpenID-Anbieters in der Thumbprint-Liste zu erhalten. Da die Fingerabdrücke eine sehr kurze Lebensdauer haben, sollten Sie unser AWS Lambda installieren , um die Thumbprint-Liste auf dem neuesten Stand zu halten.

Bild von Hebi B. aus Pixabay

Tags:

Verfasst von

Mark van Holsteijn

Mark van Holsteijn is a senior software systems architect at Xebia Cloud-native solutions. He is passionate about removing waste in the software delivery process and keeping things clear and simple.

Contact

Let’s discuss how we can support your journey.