Le GS IAM a élaboré par le présent un document auxiliaire traitant de la sécurité web dans le domaine IAM, qui se veut un complément nécessaire aux autres normes eCH en la matière.

Ce document auxiliaire formule des recommandations quant à la sécurité sur le web pour les protocoles IAM «SAML» et «OpenID Connect» visant notamment à réduire les vulnérabilités inhérentes aux protocoles et à ainsi réduire les risques au minimum. Ces vulnérabilités s’expliquent notamment par le fait que les normes courantes à ce sujet ne font guère mention des vulnérabilités/risques thématisés ou n’en traitent que certaines parties, avec pour conséquence des déficiences au moment de la mise en œuvre. Les recommandations du présent document auxiliaire s’appuient sur des normes internationalement reconnues d’une part et sur des publications scientifiques d’autre part.

Certaines des recommandations présentées ici peuvent aussi trouver une application dans d’autres domaines de la sécurité des réseaux. Aucune de ces recommandations toutefois n’a trait à la sécurité des systèmes.