Spørsmål og svar: 1 26.07.2013: 2 3 I «Bilag 1 - Kundens kravspesifikasjon» under krav T9 og T10 spesifiseres krav til integrasjon mot Microsoft Forefront Threat Management Gateway. Denne løsningen er annonsert «end-of-life» av Microsoft 12 september 2012 og vil være «end-of-support» 14 April 2015. Mircosoft beskriver dette i : Important Changes to Forefront Product Roadmaps Slik som vi tolker det antyder Microsoft at Forefront Unified Access Gateway løsningen vil ta over den funksjonaliteten som er aktuell relatert til det behovet dere beskriver. Har Oppdragsgiver noen planer for utbytte av TMG løsningen i nær fremtid? I så fall hvilket produkt/løsning? Skal vi som tilbyder ta hensyn til dette i vårt løsningsforslag? 01.08.2013: Hvis en av Tilbyderes utenlandske partnere utformer deler av besvarelsen, kan den være på engelsk eller må alt være på norsk? 13.08.2013: Er det et krav at løsningen må følge de kravene som er fastsatt i dokumentet " Kravspesifikasjon for PKI i offentlig sektor 2.0"? Hvis dette er tilfelle betyr det at kravet gjelder for autorisasjon på nivå 4? Oppdragsgiver er kjent med at TMG-løsningen vil gå «eol» fra 2015. Så langt har Oppdragsgiver ikke tatt stilling til valg av ny løsning, men et valg av UAG er ikke usannsynlig. Ifm denne konkurransen må Tilbyder ta hensyn til at TMG vil være i bruk hos Oppdragsgiver fortsatt i minst 1,5 år. Det vil i denne sammenheng være av interesse at Tilbyder beskriver hvordan løsningen vil fungere med UAG og andre mulige produkter. Alle krav må i utgangspunktet besvares på norsk. Det kan aksepteres at noen enkeltkrav henviser til en engelsk tekst, enten direkte i «K Bilag 2», eller som vedlegg. Den engelske teksten skal ikke være av generell art, men være tekniske beskrivelser av det enkelte krav. Nei, det er ikke et krav til PKI. Men det må være «noe du har, noe du kan», altså 2-faktor. Oppdatert: 02.09.2013 Side 1
4 16.08.2013: Stilles det krav til løsningen at den må inneholde mulighet for pålogging med sikkerhetsnivå 4? 5 Er personnummer eller D-nummer for de 27.000 brukerne implementert i AD? Hvis ikke, er det aktuelt å gjøre dette for de brukerne som trenger ekstern pålogging? 6 Er det et krav at personer uten norsk personnummer eller D- nummer skal kunne benytte løsningen? 7 Er en løsningsplattform basert på de viktigste smarttelefon plattformer ansett å tilfredstille kravene som stilles til løsningen? 8 22.08.2013 (Oppdatert Spørsmål og besvarelse): I Konkurransereglenes punkt 1.9 Oppbygging av konkurransegrunnalget, Del 3, står følgende: V Bilag 1: Bakgrunn for vedlikehold (PDF) I Konkurransereglenes punkt 3.4 Krav til tilbudsstruktur står følgende: 5. Utfylt bilag til Vedlikeholdsavtalen, jfr. «V Bilag 1, 2 (og 4 om nødvendig). Er det korrekt at «V Bilag 1» skal fylles ut siden det er et PDFvedlegg? 9 Spørsmålet relateres til 2013_188 K Bilag 3 Kundens tekniske plattform Punkt 1 - Innledning Kan de viktigste plattformer og basis programvare Kunden har i dag benyttes for å installere tilbudte løsning? Eksempelvis kan eksisterende VMware miljø benyttes? Saksnr. 2013/188 2-faktor autentisering Nei, det gjør det ikke. Vi benytter smartkort fra Buypass til dette i dag. Denne 2FA-løsningen er tenkt brukt for andre, mindre sensitive løsninger. Ja, det er implementert i AD. Oppdatert: 02.09.2013 Side 2 Nei Nei, dette er ikke en tilfredsstillende løsning. Vi må også ha noe som fungerer uten krav til smarttelefoner. Den er ikke i stand til å gi en løsning for alle Helse Vest sine ansatte, men høres mer ut som om å være en mulig supplerende 2FA. Ja. Dette er en feil fra Oppdragsgiver at 1.9 angir at dette er et PDFdokument. I den innledende teksten i «V Bilag 1» fremgår det med all tydelighet at dette bilaget skal fyllet ut. «V Bilag 1» er et Word-dokument. Oppdragsgiver beklager denne «forvirringen». Det faktum at vi har oppgitt plattformer og basis programvare er fordi dette er mulig å benytte. I hvilken grad Leverandøren kan benytte eksisterende VMware miljø kan ikke Oppdragsgiver besvare. Tilbyder skal beskrive hvilke krav som stilles til eventuell hyllevare for å kjøre autentiseringsløsningen sentralt dersom ikke dette leveres som en del av tilbudt løsning fra Tilbyder. 10 02.09.2013 Oppdragsgiver oppfatter dette som en overføring av risiko fra
Det beskrives både I kjøps og vedlikeholdsavtaler at prisene er faste i innføringsperioden og garanti perioden. Faste priser over en lange perioder er ofte utfordrende for en del produsenter, og spesielt en varierende kronekurs gjør dette til en risiko. Er det slik å forstå at Helse Vest ønsker faste priser over 4 år uten at leverandør kan ta forbehold om endring i valuta? Leverandør til Oppdragsgiver og betrakter dette som et forbehold ved tilbudet. Oppdragsgiver vil legge inn en estimert tilleggskostnad i tilbud som tar forbehold. Kostnaden vil være skjønnsmessig og vil bli vurdert ut fra hvor stor valutaendring som utløser prisendring og hvor stor andel av prisene som vil bli berørt. Oppdragsgiver forventer at valutakurs fremlegges i tilbudet og at det klart fremkommer hvilke priselementer og andeler av disse som berøres av valutaendringer. Tilbyder må også beskrive hvilke rutiner som finnes for å håndtere denne type endringer. Det må da også forventes at prisendringene går begge veier. Oppdragsgiver forventer faste priser i kjøpsavtalen, gjeldende for ett år. Utover dette vil Oppdragsgiver kunne akseptere forbehold mot faste priser i vedlikeholdsavtalen og ved kjøp etter første år. 11 I K- Bilag 1 kundens kravspesifikasjon illustreres en overordnet løsning for 2 faktor autentisering. Her går autentiseringsforespørsel fra bruker til DMZ og deretter til TMG. Dette er uvanlig i 2 faktor sammenheng og det anbefales et annet design på løsningen. Kan Helse Vest bekrefte at skisses kan avvikes? Dette er riktig. Figuren er ikke presis nok på dette punktet. TMG står i dag med et ben i ihelse.net og et i DMZ ut mot internett. Infrastrukturen for 2-faktorautentisering kan da enten stå i DMZ eller i ihelse.net, hvorav vi deler oppfatningen av at det siste er mest vanlig og fornuftig. 12 13 Er TMG kun installert i de sentrale datasentrene eller er de installert på hver av de 10 lokasjonene Dimensjonering av løsningen er avgjørende at Helse vest skal få en optimal løsning. Er det gjort noen estimater på antall autentiseringer per sekund som løsningen må kunne håndtere? Se svar på spørsmål 15. Det må tas høyde for at samtlige ansatte bruker 2FA flere ganger daglig. Tar man utgangspunkt i vår tyngste fagapplikasjon DIPS er denne skalert for 12.000 samtidige sesjoner. Ikke 12.000 samtidige autentiseringer, men det vil helt klart være elementer av «peaktrafikk» ved vaktskifter/lønningsdag (sjekk av lønnslipp i MinGat) Oppdatert: 02.09.2013 Side 3
etc. Våre 27.000 ansatte er fordelt på tre skift med hovedtyngden på dagtid pga administrative funksjoner. 14 Can we get a diagram showing the overall architecture of the network, domain controllers, TMG servers and Windows Domains? Kan vi få en oversikt over den overordnede arkitektur i nettverket, domene kontrollere, TMG servere og Windows domener? Skalerbar arkitektur på infrastruktursiden er en fordel, enten man erfarer at autentiseringstjenesten får for lav ytelse, eller man får flere brukere på sikt. As described in the tender specification Helse Vest have one forrest in out Active Directory, and one domain. There are several Domain Controllers. Oppdatert: 02.09.2013 Side 4
15 How many TMG servers are their currently installed? Hvor mange TMG servere er installert? The answer is 2 TMG servers in one array (they are located in different data centers in the same city), so they appear to be one TMG in the gateway towards Internet. 16 17 Oppdatert: 02.09.2013 Side 5