SecuAAS Docs
Scanyze MSP

White-Label

Configurer la marque blanche complète — logo, couleurs, custom domain, rapports brandés, emails personnalisés

White-Label

Le tier White-Label offre une expérience complète de marque blanche : votre logo, vos couleurs, votre domaine, vos emails. Vos clients peuvent ne jamais voir le nom Scanyze.

Disponible exclusivement pour le tier White-Label (partner_tiers.slug = 'white-label').

Ce qui est marquage-blanchable

ÉlémentWhite-LabelMSP standardReseller
Logo dans l'UI app✅ Custom completLogo dans rapports uniquement
Couleurs UI app
Custom domain (URL)
Logo dans rapports PDF
Footer custom rapports
Page de login custom
Emails entrants au client
Mention « Powered by Scanyze »❌ (cachée)✅ (visible)✅ (visible)

1. Configuration du custom domain

Choisir votre domaine

Recommandé : un sous-domaine dédié (secu.maboite.com, scan.maboite.com, etc.) plutôt qu'un domaine racine.

Procédure

  1. Naviguez vers /partner/branding → onglet Custom Domain.
  2. Saisissez votre domaine choisi (ex. secu.maboite.com).
  3. Scanyze affiche le CNAME à configurer chez votre registraire DNS : 
    secu.maboite.com.  CNAME  whitelabel.scanyze.com.
  4. Configurez ce CNAME chez votre DNS provider (OVH, Cloudflare, Route53, Azure DNS).
  5. Une fois propagé (1-30 min), revenez et cliquez sur Vérifier le DNS.
  6. Scanyze :
    • Confirme la résolution DNS
    • Génère un certificat TLS Let's Encrypt via DNS-01 challenge (~30 secondes)
    • Active le domaine

À partir de ce moment :

  • https://secu.maboite.com redirige vers le frontend Scanyze, branded à votre identité
  • https://api.secu.maboite.com redirige vers l'API (sans branding car API technique)
  • Le SAN du certificat TLS contient votre domaine

Authentification sur custom domain

Vos clients se connectent via votre URL :

https://secu.maboite.com/login

Ils sont redirigés vers auth.secuaas.com pour l'authentification (le SSO Zitadel SecuAAS étant le backend) puis redirigés vers secu.maboite.com/dashboard.

Pour un SSO complètement custom (votre propre IdP, pas Zitadel SecuAAS), contactez partners@scanyze.com — c'est une feature Enterprise+ qui demande une configuration dédiée.

2. Branding visuel (UI)

/partner/branding → onglet Logo

  • Upload PNG ou SVG
  • Taille recommandée : 200×60 px
  • Fichier max : 2 MB
  • Affiché en haut à gauche de la sidebar de tous vos tenants gérés
  • Apparaît aussi sur la page /login quand un utilisateur arrive via votre custom domain

Couleurs

/partner/branding → onglet Palette

  • Couleur primaire : utilisée pour les boutons, liens, focus rings
  • Couleur d'accent : graphiques, badges
  • Couleur sidebar : fond de la barre latérale
  • Mode sombre : palette parallèle pour les utilisateurs en thème dark

Toutes les couleurs sont validées (contraste AA minimum WCAG) pour garantir la lisibilité.

Favicon

Upload d'une icône 32×32 PNG ou ICO. Apparaît dans l'onglet du navigateur.

Page de login custom

/partner/branding → onglet Page de connexion

  • Titre : « Connectez-vous à votre espace de cybersécurité » (modifiable)
  • Sous-titre / accroche : court paragraphe au-dessus du formulaire
  • Image de fond : full-screen, optionnelle
  • Footer : votre mention légale, lien vers vos CGU custom
  • Liens hide : possibilité de cacher les liens « Pas encore de compte ? » (si vous gérez les invitations vous-même)

3. Rapports brandés

Tous les rapports PDF générés pour vos tenants gérés utilisent automatiquement votre branding (partner_tiers.report_white_label = true) :

  • Couverture avec votre logo + couleurs
  • Footer custom (mention légale + coordonnées de votre support)
  • Aucune mention du nom Scanyze
  • Format A4 par défaut, US Letter sur demande

Exécutif vs Technique

Les 3 formats (Reports) sont brandés :

  • executive.pdf : couverture + couleurs + footer
  • technical.pdf : header de chaque page + couleurs
  • machine.md : pas de branding (machine-readable, neutre)

4. Emails personnalisés

/partner/branding → onglet Emails

  • Sender email : votre adresse SMTP pour les notifications envoyées aux clients (ex. noreply@maboite.com)
  • Sender display name : « Sécurité MaBoite » au lieu de « Scanyze »
  • Reply-to : votre adresse de support
  • Templates customisés : éditer les textes des templates principaux :
    • Invitation d'utilisateur
    • Reset de mot de passe
    • Notification de finding critique
    • Notification de scan complété
    • Alerte quota IA

DKIM / SPF requis

Pour utiliser votre propre sender, vous devez configurer DKIM et SPF chez votre fournisseur DNS afin que les emails ne soient pas filtrés en spam :

maboite.com.       TXT  "v=spf1 include:_spf.scanyze.com ~all"
mail._domainkey.maboite.com.  TXT  "v=DKIM1; k=rsa; p=<clé fournie par Scanyze>"

Scanyze fournit la clé DKIM dans /partner/branding → onglet Emails → bouton Générer DKIM.

Sans DKIM/SPF, Scanyze envoie les emails depuis noreply@scanyze.com même si vous avez configuré un sender custom — c'est un fallback de sécurité pour ne pas casser la délivrabilité.

5. Mentions légales

Conditions générales d'utilisation custom

Si vous voulez que vos clients acceptent vos CGU au lieu des CGU Scanyze à leur première connexion :

/partner/branding → onglet Mentions légales

  • Upload du PDF de vos CGU
  • Champ texte HTML pour la version web
  • À la première connexion, le client doit accepter explicitement
  • L'acceptation est journalisée dans audit_logs (action tos_accepted avec hash du PDF)

Politique de confidentialité

Idem : upload de votre politique de confidentialité custom. Affichée dans le footer et au moment de l'acceptation.

Pays de juridiction

Pour les clients hors-Québec, vous pouvez préciser le tribunal de juridiction. Note : cela ne change pas le contrat sous-jacent SecuAAS-MSP, qui reste régi par les lois du Québec.

6. Limites du white-label

LimiteDétail
L'API publique reste sur api.secu.maboite.com mais le path reste /v1 (pas customisable)
L'admin Scanyze peut toujours intervenirLe superadmin SecuAAS a accès aux logs et peut intervenir en cas d'incident, mais le client final ne le voit pas (action loguée comme « SuperAdmin maintenance » sans détail)
Les factures émises restent au nom de 9463-7220 Québec inc.(mode direct uniquement). En mode reseller, vous facturez vos clients à votre nom, et c'est vous qui apparaissez.
Le module SecuTools (IA) reste un appel à api.secutools.secuaas.ovhMais vos clients ne voient pas ce détail (transparent pour eux)
Custom domain SSO IdP non-ZitadelDemande Enterprise+

7. Vérification quotidienne

Scanyze surveille en continu :

  • Validité du certificat TLS de votre custom domain (renouvellement auto avant J-30)
  • Résolution DNS du custom domain
  • Délivrabilité des emails (taux de bounce, spam complaints)

Si une anomalie est détectée (DNS modifié, cert près d'expirer en cas de problème de renouvellement, emails marqués spam), une notification est envoyée à votre contact technique.

Sources de cette page

  • Backend : secuscan-api/internal/api/handlers/custom_domains.go, secuscan-api/internal/services/branding/
  • Migration : 000127_partner_tiers_rename_reseller_msp_whitelabel.up.sql (white_label flag)
  • Frontend : secuscan-web/app/(dashboard)/partner/branding/page.tsx

À jour pour Scanyze v0.130.x.

Facturation MSP

Modes reseller vs direct, facture consolidée, cashback, crédits IA hérités, cycle mensuel

API MSP

Endpoints /partner/* pour automatiser la gestion de vos tenants — API keys MSP, rate limits, exemples

On this page

White-LabelCe qui est marquage-blanchable1. Configuration du custom domainChoisir votre domaineProcédureAuthentification sur custom domain2. Branding visuel (UI)LogoCouleursFaviconPage de login custom3. Rapports brandésExécutif vs Technique4. Emails personnalisésDKIM / SPF requis5. Mentions légalesConditions générales d'utilisation customPolitique de confidentialitéPays de juridiction6. Limites du white-label7. Vérification quotidienneSources de cette page