Alle Kapitel- und Anlagenverweise beziehen sich auf die Vergabeunterlagen (VU)! Die MPG hat Bedarf an einer Spezialistenunterstützung für eine Multi-Faktor- Authentifizierungslösung primär auf Smartcard-Funktionalität sowie für verschiedene damit zusammenhängende Systeme. Das Ziel dieses Vergabeverfahrens ist es, einen Auftragnehmer ("AN" bzw. "RV-Partner") zu finden, der auf Abruf aus einer Rahmen- vereinbarung "GV-2024-00081 EVB-IT Servicevertrag Rahmenvereinbarung ("RV", "Vertrag" oder "Vereinbarung") den Auftraggeber bei dieser Aufgabe unterstützt. Die Generalverwaltung der MPG wird vor Vertragsbeginn 900 physische Windows-11-Clients der General-verwaltung und 2.900 virtuelle Citrix-Arbeitsplätze (überwiegend Shared Desktops unter Windows Server 2022, ca. 200 Dedicated Desktops unter Windows 11) von physischen auf virtuelle Smartcards umgestellt haben. Auf den virtuellen Smartcards wird ein Anmeldezertifikat für die Anmeldung an den physischen PCs sowie dem Single Sign-On (SSO) der MPG bereitgestellt sowie ein benutzerspezifischer Schlüssel für die Dateiverschlüsselung Utimaco LAN Crypt, die sowohl auf physischen als auch virtuellen Clients eingesetzt wird. Die Verwaltung der Smartcards erfolgt über ein Versasec vSEC:CMS, die virtuellen Smartcards werden über Thales IDprime Virtual und dahinterliegende Thales Luna HSMs bereitgestellt. Die Anmeldezertifikate auf den Smartcards werden mittels einer internen Microsoft-PKI bereitgestellt. Auf den Clients wird der Thales SafeSign Minidriver sowie IdPrime Virtual Connect eingesetzt. Die Anmeldung an den virtuellen Citrix-Arbeitsplätzen wird über den MPG Single Sign-On (SSO) und mehrere darin eingebundene MFA-Verfahren (FIDO2, OTP, Smartcards) realisiert und ist - mit Ausnahme der clientseitigen Funktion der zertifikatsbasierten Authentifizierung - nicht Gegenstand dieser Vergabe. Die Verbindung der virtuellen Smartcards auf den Clients wird ebenfalls über eine MPG-SSO-Anmeldung realisiert. Die MPG betreibt zudem das "IdPortal", über das Anwendende im Self Service u.a. die Smartcard-PINs zurücksetzen können. Der Betrieb des IdPortals ist ebenfalls nicht Gegenstand dieser Vergabe, lediglich die CMS-seitige Funktion der Versasec-APIs muss vom Auftragnehmer betreut werden. Bitte beachten Sie die Anforderungen an die Qualifikation des eingesetzten Personals, vgl. Kap. 4.2.3.1. Für die detaillierte Beschreibung des Vergabegegenstands wird auf die umfassende Leistungsbeschreibung in Kapitel 5 verwiesen. Es ist eine zweimonatige Transition-Phase vor Leistungsbeginn geplant (s. auch Kap. 5.2.6).