Logowanie przez Microsoft 365

PhishSpot integruje się z Microsoft 365 (Entra ID) do logowania użytkowników końcowych. Pracownicy zaimportowani z Twojego katalogu logują się swoim firmowym kontem Microsoft — bez osobnego hasła, bez osobnej tożsamości do wprowadzania. Przy pierwszym logowaniu PhishSpot łączy zalogowanego użytkownika z istniejącym rekordem kontaktu z Entry i wyświetla mu osobisty panel szkoleniowy pod /guest/dashboard.

Ten rozdział opisuje przepływ logowania widziany przez pracownika, osobisty portal, do którego po zalogowaniu trafia, oraz selektor dwóch ról pokazywany adminom, którzy są jednocześnie użytkownikami końcowymi.

24.1 Po co Microsoft 365 SSO?

Trzy powody:

• Brak dodatkowego hasła do zapomnienia. Pracownicy używają tego samego konta Entra, którego używają już w Outlooku, Teams, SharePoint i reszcie Microsoft 365. Nic nowego do zapamiętania.
• Automatyczny onboarding. Gdy synchronizacja katalogu Entra (Rozdział 25) zaimportuje pracownika, jego pierwsze logowanie przez Microsoft od razu zamienia kontakt w pełne konto użytkownika — bez ingerencji admina.
• Dziedziczony poziom zabezpieczeń. Conditional Access, MFA, zgodność urządzeń — każda polityka Entra obowiązuje. PhishSpot nie wymusza własnego MFA na ścieżce SSO, bo Microsoft robi to wcześniej w przepływie.

24.2 Konfiguracja po stronie admina

Aplikacja OAuth na poziomie platformy jest już zarejestrowana w tenancie PhishSpot. Aby włączyć logowanie pracowników z Twojego tenanta, wystarczy nadać zgodę administracyjną dla aplikacji PhishSpot i (opcjonalnie) podpiąć synchronizację katalogu:

1. Otwórz Ustawienia konta → Integracje → Microsoft 365.
2. Kliknij Połącz Microsoft 365. Zostaniesz przekierowany do ekranu zgody administratora Microsoft.
3. Nadaj żądane uprawnienia (User.Read.All, Group.Read.All, Directory.Read.All dla synchronizacji; openid, profile, email dla logowania).
4. Microsoft przekieruje Cię z powrotem. PhishSpot zapisze Twój tenant ID i tokenem aplikacji ograniczony do tego tenanta.
5. (Opcjonalnie, ale zalecane) skonfiguruj harmonogram synchronizacji — patrz Rozdział 25 §25.3.

Po nadaniu zgody każdy użytkownik w Twoim tenancie, którego email pasuje do zaimportowanego kontaktu na koncie, może się zalogować. Użytkownicy, którzy nie pasują do żadnego kontaktu (albo których tenant ID nie odpowiada żadnej skonfigurowanej integracji), trafiają na uprzejmą stronę „brak dostępu” — nie tworzą kont „na żywo”.

24.3 Przepływ logowania użytkownika końcowego

Co widzi pracownik:

1. Otwiera https://platform.phishspot.com/users/sign_in.
2. Pod formularzem email/hasło, oddzielony „LUB”, widzi przycisk Kontynuuj z Microsoft (z logo Microsoft). Kliknięcie przekierowuje na ekran logowania Microsoft.
3. Microsoft uwierzytelnia użytkownika — z MFA, jeśli Twój tenant tego wymaga. Użytkownik nadaje aplikacji PhishSpot uprawnienia przy pierwszym logowaniu (jednorazowa zgoda per użytkownik, chyba że nadałeś zgodę admina w jego imieniu — wtedy ekran zgody w ogóle się nie pojawia).
4. Microsoft przekierowuje z powrotem do PhishSpot. W tle:
   • Jeśli istnieje User o tym samym emailu, jest używany.
   • Jeśli nie, tworzony jest nowy User z tym emailem, oznaczony jako zweryfikowany.
   • PhishSpot zapisuje tenant ID Entra dla szybkich wyszukiwań.
   • Każdy niezlinkowany Contact pasujący po emailu zostaje dowiązany do tego usera — staje się „Twój kontakt, Twój user”.
5. Użytkownik ląduje na /guest/dashboard. Żadnego hasła nie ustawiał. Żaden email z zaproszeniem nie został wysłany. Jest w środku.

Pierwsze logowanie zamyka się w jednym round-tripie; kolejne są jeszcze szybsze — Microsoft pamięta zgodę, a krok dopinania jest no-op po pierwszym razie.

24.4 Panel użytkownika końcowego

/guest/dashboard to portal skierowany do pracownika. Pokazuje wszystko, czym pracownik powinien się osobiście zająć — i nic więcej. Pracownik nie widzi wyników innych osób, listy kampanii, ustawień konta ani żadnych stron adminowych.

Panel ma trzy sekcje:

24.4.1 Twoje szkolenia

Lista szkoleń, które pracownik ma do zrobienia — zwykle jedno na każdą kampanię phishingową, w którą pracownik kliknął i która ma przypisany kurs jako finał po kliknięciu. Każdy wiersz pokazuje:

• Nazwę kursu (np. „Świadomość phishingowa 101”).
• Status: nierozpoczęty / w toku (z % postępu) / ukończony.
• Przycisk otwierający odtwarzacz kursu w tym samym oknie.

Szkolenia są wyprowadzane z rekordów Deliverable — gdy kontakt dotrze do stanu clicked lub dalej na kampanii z przypisanym kursem, pojawia się tu zadanie.

24.4.2 Historia maili

Ostatnie 50 maili z symulacji phishingowych, z którymi użytkownik miał kontakt. Dla każdego:

• Nazwa kampanii (firmowa etykieta, nie adres nadawcy symulacji).
• Jakie akcje użytkownik wykonał (otworzył / kliknął / wysłał formularz / zgłosił).
• Znacznik czasu.

To osobista wersja tego, co admini widzą w dashboardzie kampanii. Krótka z premedytacją — długie retencje to sprawa admina, nie pracownika.

24.4.3 Zgłoszone maile

Jeśli użytkownik zgłosił phishing przez dodatek do Outlooka (Rozdział 20), każde zgłoszenie pojawia się tu z tematem, nadawcą i czasem zgłoszenia. Sekcja pokazuje też adres skrzynki zgłoszeń per konto — przydatny dla użytkowników na urządzeniach bez dodatku Outlook, którzy mogą ręcznie forwardować podejrzanego maila.

24.5 Selektor podwójnej roli

Niektórzy użytkownicy są jednocześnie adminami i pracownikami: menedżer bezpieczeństwa, który prowadzi kampanie phishingowe, sam jest też celem phishingu. PhishSpot rozwiązuje to jawnym selektorem.

Gdy użytkownik z account_user (rola admina na co najmniej jednym koncie) ORAZ contact_membership (rekord kontaktu na co najmniej jednym koncie) loguje się, resolver kieruje go na /guest/role zamiast prosto na dashboard. Selektor pokazuje dwa duże przyciski-karty:

• 🛡️ Panel admina — otwiera adminowy UI scoped per konto (/accounts/:account_id).
• 🎓 Portal szkoleniowy — otwiera /guest/dashboard.

Użytkownik wybiera raz na sesję. Selektor jest też dostępny z menu użytkownika — admin może przełączyć kontekst w trakcie pracy.

Użytkownik z samym account_user (czysty admin) pomija selektor i ląduje od razu w panelu adminowym. Użytkownik z samym contact_membership (czysty pracownik) pomija selektor i ląduje na /guest/dashboard. Selektor pojawia się tylko gdy oba warunki są spełnione.

24.6 Model bezpieczeństwa

PhishSpot deleguje uwierzytelnianie do Microsoft dla sesji SSO. To znaczy:

• MFA jest wymuszane przed PhishSpot. Jeśli Twój tenant wymaga MFA, każde logowanie do PhishSpot przez SSO przez nie przechodzi. Jeśli nie wymagasz MFA, PhishSpot nie nakłada go „po cichu” na ścieżce SSO.
• Conditional Access działa. Polityki tenanta (zgodność urządzenia, restrykcje geograficzne, ochrona aplikacji) obejmują logowanie do PhishSpot tak samo jak każdą inną aplikację Entra.
• Zawężanie do tenanta (opcjonalne). PhishSpot można skonfigurować tak, żeby odrzucał logowania z Entra tenant ID nie pasującego do żadnego skonfigurowanego AccountOauthIntegration na platformie. Zalecane dla tenantów, które nie chcą żeby przypadkowi użytkownicy Microsoft próbowali się logować.
• Lokalne 2FA dla kont bez SSO. Admini, którzy nie logują się przez Microsoft (np. konta serwisowe), mogą włączyć TOTP-owe 2FA — patrz Rozdział 15 Profil użytkownika.

24.7 Rozwiązywanie problemów

Przycisk Microsoft zabiera mnie na „brak dostępu”. Albo żaden Contact nie pasuje do mojego emaila na żadnym koncie, albo tenant ID nie jest rozpoznany. Poproś admina o potwierdzenie: (1) synchronizacja katalogu działała i Twoje konto zostało zaimportowane; (2) integracja jest połączona ze zgodą administracyjną (Rozdział 25 §25.2).

Kliknąłem Kontynuuj z Microsoft, ale Microsoft nigdy nie poprosił mnie o zgodę. Zgoda administratora jest już nadana w Twoim tenancie — to oczekiwane i szybsze.

Jestem adminem i ciągle ląduję na selektorze ról. To jest oczekiwane: jesteś jednocześnie adminem i kontaktem na tym samym koncie. Wybierz rolę; wybór trwa do końca bieżącej sesji.

Spodziewałem się zobaczyć wyniki innych pracowników. Nie zobaczysz — Panel pokazuje tylko Twoje dane. Zbiorcze dashboardy są tylko dla adminów i są pod adminowym UI konta.

24.8 Odnośniki

• Synchronizacja katalogu, która tworzy kontakty z Entra: Rozdział 25 Synchronizacja katalogu.
• Dodatek Outlook karmiący sekcję „Zgłoszone maile”: Rozdział 20 Dodatek do Outlooka.
• Raporty kampanii, których admini używają do monitorowania tego, co pracownicy widzą w portalu: Rozdział 11 Raporty i analityka.
• Lokalne TOTP-owe 2FA dla kont bez SSO: Rozdział 15 Profil użytkownika.