使用教程丨在Burp Suite Enterprise Edition 中直接创建和管理用户的标准流程

您可以从“团队”页面管理与用户和授权相关的所有设置。此页面包含用户、组和角色的选项卡：
- 用户是可以访问应用程序的个人用户或机器。
- 角色是执行特定类型操作的一组权限。
- 一组是一组一组预定义角色的用户。例如，您可以在组级别集中设置角色，并相应地将用户分配到相关组，而不是单独管理每个用户的每个角色。也可以选择将组限制为站点树的一部分。

用户

用户选项卡显示有关已配置用户的详细信息，例如他们的姓名、电子邮件地址和他们的登录类型。登录类型决定了用户是将使用密码登录的实际人员还是 API 用户。API 用户是一个虚拟实体，需要使用 REST API 或 GraphQL API将Burp Suite Enterprise Edition与其他软件集成。
过滤器栏可让您根据特定功能显示或隐藏用户。例如，您可以选择仅显示被锁定或从未登录的用户。将鼠标悬停在用户上方会显示上下文选项，例如禁用或删除用户。

创建新用户

笔记:在创建新用户之前，我们建议先连接您的 SMTP 服务器，因为这样可以更轻松地邀请新用户加入 Burp Suite Enterprise Edition、重置用户忘记的密码等。
1.以管理员身份登录并转至团队 > 添加新用户。
2.输入新用户的基本详细信息，例如他们的姓名、用户名和电子邮件地址。
3.选择登录类型“密码”。
4.使用“已启用”开关来决定您是希望用户能够立即登录，还是希望先创建用户然后再激活帐户。
5.选择组此用户应该属于。
6.完成后，单击右上角的“保存”。新用户现在应该出现在用户列表中。如果您已经连接了您的 SMTP 服务器，用户将自动收到一封电子邮件，邀请他们完成注册过程并获取他们的密码。否则，系统会提示您复制链接，您必须手动将其发送给相关用户。

编辑用户

要编辑现有用户，请转至团队 > 所有用户并从列表中选择用户。然后，您可以像创建新用户时一样编辑他们的详细信息。
您还可以通过将鼠标悬停在列表中的用户上并单击屏幕右侧的“禁用用户”开关来临时禁用用户。或者您可以通过单击“删除用户”图标完全删除用户。
请注意，您无法更改用户的登录类型。

创建 API 用户

如果要将 Burp Suite 企业版与其他软件（例如 Jira 或 CI 系统）集成，则需要创建一个专用 API 用户，其他软件将使用该用户通过 REST API 或 GraphQL 对与 Burp Suite 企业版的通信进行身份验证应用程序接口。
笔记:API 用户无法登录 Web UI。
1.以管理员身份登录并转至团队 > 添加新用户。
2.输入名称和用户名，以帮助您以后轻松识别用户，例如“Jenkins Build”。
3.输入电子邮件地址，例如管理员用户的电子邮件地址。
4.选择登录类型“API 密钥”。
5.如果您对更改感到满意，请单击右上角的保存图标。
6.出现提示时，复制 API 密钥和 URL，并将它们保存在安全的地方。稍后您将需要这些。
请注意，您无法检索现有用户的 API 密钥。如果您丢失了它，您将不得不生成一个新密钥并手动更新使用它的任何文件。

角色

角色是执行特定类型操作的一组权限。角色将许多相互关联或依赖的单独权限组合在一起。定义与团队中人员的实际工作职能相匹配的角色通常很有用。这有助于以快速可靠的方式将用户放入正确的组中。
在“团队”页面上，角色选项卡显示所有已配置的角色。有多种内置角色定义了常见的作业功能，例如管理员、扫描发起者等。这些不能修改。但是，您可以根据需要通过单击“新建角色”按钮来创建自己的自定义角色。
将鼠标悬停在角色上会显示该角色的上下文选项，例如删除它。
您可以单击进入角色以查看详细信息。对于自定义角色，您可以编辑角色名称和分配的权限。
某些权限之间存在依赖关系。从逻辑上讲，编辑实体的权限通常取决于是否具有查看同一实体的权限。编辑权限时，这些依赖项会在 UI 上指示 - 未选择先决权限的权限将灰显且不可选择。

团体

组是具有预定义角色集的一组用户。例如，您可以在组级别集中设置角色，并相应地将用户分配到相关组，而不是单独管理每个用户的每个角色。
也可以选择将组限制为站点树的一部分。组中的用户将继承在分配的角色中定义的权限，但受站点限制。每个用户可以属于多个组，并将继承他们所属的所有组产生的角色和权限。
“团队”页面的组选项卡显示已配置组的详细信息，包括组名、用户数以及对站点的任何限制。
将鼠标悬停在组上会显示该组的上下文选项，例如删除它。
您可以使用“新建组”按钮创建一个新组。通过单击现有组，您可以查看和编辑组名称、其分配的角色、用户以及为该组定义的任何站点限制。

限制对网站的访问

Burp Suite 企业版支持基于角色的访问控制(RBAC)，帮助您将敏感数据和功能的访问权限限制为仅允许需要的人访问。分配给组的角色允许权限的垂直隔离，以便不同类别的用户可以执行不同类型的操作；例如，能够启动扫描与能够查看扫描结果。对站点进行限制的能力允许权限的横向隔离，以便不同类别的用户可以对不同的数据执行相同类型的操作；例如，能够对某些站点与其他站点进行扫描。
站点限制的主要用例是支持不同人群需要访问组织基础架构不同部分的团队。例如：
- 不同的人负责运营、财务和薪资申请。
- 不同的人可以访问开发、暂存和生产系统。
- 不同的人处理不同地理区域的应用程序。
默认情况下，组对站点没有限制。这意味着组中的用户将具有与所有站点相关的定义角色。在组详细信息中，在“站点限制”选项卡上，您可以将组配置为仅限于某些站点。您可以选择该组角色适用的站点树部分。这可以是文件夹或单个站点。默认情况下将不允许任何未明确允许的内容。
在您选择为允许的任何文件夹中，您可以取消选择应禁止的特定站点和子文件夹。这使您能够支持各种情况。例如，您可能希望让组查看“Production”文件夹中所有内容的扫描结果，但不允许其下的“HR”文件夹，因为其扫描结果可能包含更多敏感信息。