paragraphe I.7
n° de page 7
langue Fr
III.7.2
78
Fr
Général
Fr
III.6.3
73-74
Fr
II.4.6
25
FR
III.2.3 Qualité
43
FR
III.3.4.3
48
FR
III.3.4.8
55
FR
III.5
69
FR
III.5
69
FR
I.9
8
FR
II.9
31
FR
II.13.1
33
FR
III.3.8
67
FR
III.7.2
78
FR
Algemeen
NL
II.13.1
34
NL
III.2.1 III.3.5.1 III.3.5.2
39 65 65
NL
III.2.3
40 (PID) 42 (Kick-off meeting) 47
NL
III.3.4.5
49
NL
III.3.4.6
49
NL
III.3.4.7
51
NL
III.3.4.7
52
NL
III.3.4.8
53
NL
III.3.4.11
58
NL
III.3.4.12
58
NL
III.3.4.13
59
NL
III.3.4.13
59
NL
III.3.4.18
62
NL
III.3.4.24
64
NL
III.3.4.1 III.3.4.3
NL
III.3.5
64, 65
NL
III.3.5.1
64
NL
III.3.5.1
64
NL
III.3.5.2
65
NL
III.3.5.2
65
NL
III.3.5.2
65
NL
III.3.7
66
NL
III.7.2
76
NL
Question "De ce fait, la réception provisoire globale devra avoir lieu dans les 15 mois qui suivent la date d’envoi du bon de commande. (…) La maintenance ne commence qu'après l'expiration du délai de garantie. La période de maintenance doit être prévue pour une durée de 33 mois." Question 1 : Devons-nous comprendre que la durée globale du marché à couvrir est donc de : 15 mois maximum pour la réalisation + 12 mois de garantie + 33 mois de maintenance. Question 2 : Que se passe-t-il si des activités de maintenance ne faisant pas partie de la garantie doivent être effectuées pendant la période de garantie ? Vous indiquez en effet que la maintenance ne peut démarrer qu’après l’expiration de la garantie. REPONSE : la durée totale du marché est de 48 mois maximum. La maintenance corrective et préventive est gratuite durant la période de garantie. « L’adjudicataire doit proposer un nombre d’hommes-jours d’assistance complémentaire sur toute la durée initiale du contrat. (…).Selon les besoins, le SPF Finances peut faire appel à l'assistance complémentaire par demi-jours. (…)Cette assistance couvrira les extensions qui seront réalisées à la demande du SPF Finances après la mise en production. Les hommes-jours couvriront en principe tout ce qui est jugé nécessaire dans le cadre des extensions demandées. ». Question : sur quelle base l’adjudicataire peut-il estimer un nombre de jours pour l’assistance complémentaire (autre que la maintenance)? Nous comprenons bien que le SPF Finances demande dans son tableau de prix, un prix par jour / homme pour l’assistance complémentaire mais l’estimation d’un nombre de jours pour des nouvelles fonctionnalités non mentionnées nous semble peu réaliste sachant que de toute REPONSE : L'objectif du SPF Finances est d'évaluer le degré de disponibilité d'un expert de la solution proposée. L'assistance complémentaire doit en effet être mise en oeuvre par une personne spécialiste de la solution mise en place. Il s'agira donc d'un nombre minimum de jours pour lesquels l'adjudicataire s'engage à mettre un tel spécialiste à disposition du SPF Finances, étendue sur toute la durée initiale du contrat. L'utilisation de la méthodologie FUP n'est pas mentionnée explicitement dans le cahier des charges. Souhaitez-vous que cette méthodologie soit suivie au sens strict ou pouvons-nous proposer des adaptations ou autre méthodologie ? REPONSE : La méthodologie FUP est commune à tous les projets du SPF Finances et est donc d'application pour ce projet-ci. Cependant, lors de la phase d'analyse du projet, la liste définitive de délivrables du projet sera établie par le SPF Finances, éventuellement inférieure à la liste de délivrables définie par la méthodologie FUP. Q1 : La maintenance évolutive parle des bogues constatés dans les produits. Ne s'agit-il pas plutôt dans ce cas de maintenance corrective ? Q2 : dans la partie "Maintenance évolutive", il est indiqué "La maintenance préventive est gratuite pendant la période de garantie". Pouvez-vous préciser ce que le SPF Finances souhaite par rapport à la maintenance évolutive ? Q3: Concernant la maintenance corrective, il n'est pas indiqué si celle-ci est gratuite ou non pendant la REPONSE : 1) en effet, il s'agit de la maintenance corrective 2) et 3) La maintenance corrective et préventive est gratuite durant la période de garantie. Est-ce que les requirements, les analyses, ... du code développé pour pm-gui et pm-core sont actuellement dans le standards pmfin du SPF finances ou faut il les réécrire dans le cadre de ce dossier ? REPONSE : Au vu des documents existants et en raison des différentes adaptations de code intervenues depuis leur écriture, il semble réaliste de prévoir une réécriture, même si plusieurs sections seront probablement réutilisables. En supposant que l'on peut réutiliser du code, est ce que celui-ci devra passer le QUAC ?
REPONSE : L'intégralité du code fourni par l'adjudicataire étant sous sa responsabilité, la réponse est oui. Le texte mentionne le numéro de version de l'application. Est-ce cela correspond à la version de l'application dans l'historique de PM ou bien le numéro de version de l'application livrée dans Delivery Management ? REPONSE : Le numéro de version de l'application fait référence aux versions sucessives des matrices de sécurité des différentes applications gérées par le Policy Manager. Aucun lien avec Delivery Management. Pouvez-vous mieux définir ce que vous entendez par webservice externe ? REPONSE : un webservice exposé par le SPF Finances et destiné à être appelé par des utilisateurs tout à fait extérieurs aux Finances (notaires, Région Flamande,...). Les webservices destinés aux utilisateurs externes et exposés via l'ESB du SPF Finances entrent également dans cette catégorie. Sous-point : Environnements de développement, d'intégration, de test et de production Qu'appelle-t-on les "services extérieurs" ? Pouvez-vous préciser quelles sont les exigences ? REPONSE : On entend par “services extérieurs” des utilisateurs Business de l'application. Ces utilisateurs Business devront avoir accès aux environnements d'intégration et de production. Les exigences mentionnées sont d'avoir des environnements techniquement identiques. Par exemple, le Policy Manager d'intégration doit être déployé selon la même architecture que celui de production (même nombre d'instance, derrière un load-balancer événtuel identique, tournant sur le même OS, accédant à une DB de configuration identique,...). Sous-point : Exigences en matière d'intégration aux standards existants On lit la phrase suivante : "Remarque : à l'élaboration du cahier des charges, on examinera s'il faut inclure les deux paragraphes ou seulement un des deux." Est-ce que cette remarque peut-être ignorée et le texte qui la suit considéré comme le choix définitif ? REPONSE : Oui. Quelle différence existe-t-il entre les références à fournir sous la section "Partie 1, Section C, Critères de capacité technique" et sous la section "Partie 4, Annexe 1, Références de projets récents"? REPONSE :le formulaire de la partie IV doit être utilisé pour la présentation des références au niveau capacité technique. Qu'impliquent les sanctions mentionnées en dernière ligne de la page 31? REPONSE : il s'agit des pénalités prévues par le SLA Pourriez-vous confirmer que les services liés aux phases 1 à 6 définies en page 30 & 31 ne pourront faire l'objet que d'une seule facture émise à la réception provisoire globale qui aura lieu lorsque toutes les réceptions provisoires partielles (pour les phases 1 à 6) auront été approuvées par le SPF Finances ? REPONSE : en effet, une seule facture à la réception provisoire globale. Existe-il déjà un plan de test de l'application existante? REPONSE : Oui. Celui-ci devra bien entendu être étendu pour permettre le test des nouvelles fonctionnalités. Il fait partie des délivrables du projet. L'assistance spécifique pour l'intégration du Policy Manager à la future plateforme Identity & Access Management est-elle à proposer en jours/homme? REPONSE : Oui. Il s'agit ici d'une assistance limitée, sous forme de consultance, le travail d'intégration en luimême étant à exécuter par le projet de la future plateforme Identity & Access Management. Is het mogelijk een glossary met de gebruikte termen en afkortingen te bekomen? REPONSE : Dat is niet voorzien maar een definitie van de onduidelijke termen zou kunnen bekomen zijn. Is facturatie na voorlopige oplevering van iedere fase toegestaan ? REPONSE : nee, facturatie na globale voorlopige oplevering Is de broncode van PM-GUI, PM-Core en de interfaces nu al beschikbaar ? REPONSE : Alles zal beschikbaar zijn voor diegene die het bod wint.
Wanneer wordt de PID juist verwacht ? Als onderdeel van de offerte, of in de periode tussen bestelbon en REPONSE : in de periode tussen bestelbon en Kick-off. Hoger op p.47 maakt men onderscheid tussen 'globale context' en 'aplicatieve context' voor op basis van de rol van de gebruiker, hier plaatst men de homepage steeds in een 'global' context, tegenspraak? Is het mogelijk een duidelijkere beschrijving van 'globale' en 'applicatieve' context te geven? REPONSE : Globaal context gaat over alle schermen waarin gebruikers kunnen werken binnen de Policy Manager voor dat zij een toepassing gekozen hebben. Voor meeste Business gebruikers is dat echt beperkt. De homepage toont een lijst van toepassingen en laat de gebruiker kiezen. Klonen van een applicatie: Incusief applicatieve rollen, voorwaarden, toegangsmatrices? REPONSE : Ja Dooreen gebruik van uitdrukkingen attribuut/rol/parameter. Verduidelijking? REPONSE : 1) en effet, il s'agit de la maintenance corrective 2) et 3) La maintenance corrective et préventive est gratuite durant la période de garantie. Worden er haakjes voorzien in formules? REPONSE : Nee Hoe moeten we 'modellen van applicatieve rollen' beschouwen? Als vooraf gedefinieerde modellen met behulp van bestaande applicatieve attributen of op een afwijkende manier bepaald? REPONSE : Als vooraf gedefinieerde modellen met behulp van bestaande applicatieve attributen Hoger op p.53 staat er dat het veiligheidsmodel voor webservices via toegangsmatrices bepaald kan worden. Is dit dan een eenvoudige Allow of Deny per webservice endpoint? Of moet hier ook fijne authorisatie ondersteund worden met voorwaarden en formules? (Alsook authorisatie per web service methode of zelf op bepaalde data van een webservice response?) REPONSE : fijne authorisatie moet ook ondersteund worden, bv met hulp van bepaalde data van een webservice request. Dezelfde schermen dan de gewone condities kunnen hergebruikt worden in de schermen vanmet de lijst webbetaande service condities. Basisscherm URL-modellen: is dit per applicatie. REPONSE : Ja, in een applicatieve context. Wat wordt bedoeld met een 'grafische weergave'? REPONSE : Een mogelijk voorbeeld is het huidige model : een HTML tabel met twee dimensies. Is hier dan geen sprake van drie dimensies? HTTP-actie als derde dimensie? REPONSE : Nee. Een dimensie voor applicatieve rollen, een tweede dimensie voor de HTTP Business Transacties ( “GET URL1”, “POST URL1”, “GET URL2”,...) Vermelding BT's in twee paragrafen onderaan: is dit een copy-paste fout? Wat moet desgevallend de juiste REPONSE : La phrase “Un mécanisme de filtrage des rôles applicatifs sera fourni pour permettre à l'utilisateur de ne consulter qu'une partie de la matrice d'accès applicative.” fait référence erronément à la matrice applicative. Il est ici bien question de la matrice d'accès HTTP. Bij het exporteren naar een CSV-bestand worden ook de gekozen beslissingen weggeschreven ("ALLOW", "DENY", Voorwaarde), hoe worden de voorwaardes gexporteerd? Wordt het volledige voorwaarde object geëxporteerd of enkel de naam van de voorwaarde? REPONSE : Te bepalen gedurende de implementatie. Idee is in ieder geval om de CVS te kunnen importeren in Excel om de matrix offline te kunnen raadplegen. In de globale context kunnen administrators de gebruikersdirectory's definiëren, zodat de tool voor rollenbeheer weet waar en hoe applicatieve rollen gecreëerd moeten worden. Hoe verloopt deze communicatie?, dit lijkt niet vermeld in III.3.5.1. Moet de policy manager dan ook integreren met de REPONSE : Er bestaat al een WebService Interface. Deze moet hergebruikt worden. Zie 3.5.1.
Graag een architectuuroverzicht van de huidige situatie incl. interfacing naar FEDIAM. REPONSE : Een XML file met de volledige access matrix ( behalve de definitie van de applicatieve rollen ) wordt gestuurd naar een remote process via een socket connection. De interface moet blijven sinds de FedIAMversie oplossing blijft. Welke van de Oracle Waveset Identity Manager wordt er momenteel gebruikt? REPONSE : 8.1.1 Bij provisioning van een applicatie worden de rollen en formules naar een web service in Oracle Waveset gestuurd. Zijn alle operators en operandi die beschreven zijn in het document ook ondersteund door Oracle Waveset? Is er een webservice contract (wsdl) beschikbaar voor deze service? REPONSE : Applicatieve rollen zijn gemapd naar Waveset rollen. Uiteindelijk wordt de definitie van de applicatieve rollen vertaald door de Policy Manager in een LDAP query die gestuurd wordt door Waveset naar onze LDAP server. De LDAP entries teruggestuurd door de LDAP server bepalen de identiteiten die de applicatieve rol moeten krijgen. Waveset kent dan de rollen toe. Ja, wsdl is beschikbaaar. Voor de integratie met de huidige oplossing, welke versies van Sun Access Manager (AM) en Oracle OpenSSO (OSSO) worden er momenteel gebruikt? REPONSE : AM 7.1 & OpenSSO 8.0U2. De interface tussen Policy Manager en de twee produkten blijft hetzelfde. De verspreiding van toegangsregels gebeurt via de verzending van een TCP pakket, is dit op basis van het HTTP protocol of een ander TCP protocol? REPONSE : op dit moment een simple socket connectie. De verspreiding van toegangsregels gebeurt via de verzending van een XML document, is de syntax van dit document gebaseerd op een open standaard of is dit eigen aan de huidige IAM oplossing(en)? REPONSE : Custom. Min of meer een XML dump van het volledige “Access Matrix” object. Graag een indicatie van volumes: - Hoeveel applicaties worden vandaag al aangestuurd door de Policy Manager ? Verwachtte toename per jaar ? REPONSE : Meer dan 100 applicaties nu in gebruik, met rond een tiental versies voor elke toepassing. Ongeveer 30 nieuwe applicaties per jaar. Er zal alleen maar tientallen verschillende gebruikers van Policy Manager zijn. Aantal interne/externe gebruikers van de andere Fodfin Business applicaties is hier niet relevant. Er moet een totaalprijs opgenomen worden voor de integratie met een nog te selecteren toekomstig platform Identity Access Management. Gezien dit platform nog niet gekend is, moet een schatting gebaseerd worden op veronderstellingen. Als later blijkt dat de gekozen oplossing afwijkt van de de veronderstellingen, REPONSE : Om dit probleem te vermeiden zullen de huidige interfaces naar de huidige produkten blijven staan. Wanneer het toekomstige platform IAM geselecteerd wordt kan het zijn dat de interfaces aangepast moeten worden. In dat geval moet u alleen maar een beperkt aantal dagen voorzien om support/consultatie aan de andere team te geven. De verantwoordelijkheid van de integratie met het nieuw platform ligt bij het project die het nieuwe platform implementeert. Dus no bijstelling nodig.
