diff --git a/assets/images/oauth/12_application_details.png b/assets/images/oauth/12_application_details.png
new file mode 100644
index 0000000000000000000000000000000000000000..e60132727a629782ae726a322fc55505090da716
Binary files /dev/null and b/assets/images/oauth/12_application_details.png differ
diff --git a/assets/images/oauth/13_api_zugriff.png b/assets/images/oauth/13_api_zugriff.png
new file mode 100644
index 0000000000000000000000000000000000000000..84f9c1dc74a9f80e9389f7b43e9ff4ee96d390e1
Binary files /dev/null and b/assets/images/oauth/13_api_zugriff.png differ
diff --git a/docs/4_Authentifizierung_und_Autorisierung.md b/docs/4_Authentifizierung_und_Autorisierung.md
index dab128ceeb9a18699d68c8f37e386db686b2d4f7..97b213a31fbcca4ab60b10c6ef7acfb45ed6de10 100644
--- a/docs/4_Authentifizierung_und_Autorisierung.md
+++ b/docs/4_Authentifizierung_und_Autorisierung.md
@@ -87,6 +87,49 @@ Im Hintergrund wird nun automatisch eine nur für ihre Behörde und diese Anwend
Aus dieser Liste heraus können sie die Details der Anwendung durch Klick auf den Namen der Anwendung ansehen.
+
-... TO BE CONTINUED ...
+Für die Nutzung des API sind die Angaben unter "OAuth2-Anmeldeinformationen" wichtig.
+Der für Sie und Ihre Anwendung gültige OAuth2 Scope wird ihnen in einer E-Mail mitgeteilt.
+
+Hier ein Beispiel einer solchen E-Mail:
+
+> Sehr geehrter Herr Mustermann,
+>
+> Für ihren Client (Application) steht ihnen folgender Scope zur Verfügung
+>
+> Scope: subscriber-c1785a90-b3e7-3022-9c70-e1714cb8e8c6:manage
+>
+> Zusammen mit der „client_id“ und dem für uns nicht sichtbaren „client_secret“ können Sie in der Folge einen „access token“ für das API „SubscriberAPI“ abholen.
+>
+> Die URL dafür lautet:
+> https://oauth.fiep-poc.de/invoke/pub.apigateway.oauth2/authorize
+>
+> Die weiteren Details zur entnehmen Sie bitte der FIT-Connect Anwenderdokumentation“.
+>
+> Mit freundlichem Gruß
+> Ihr FIT-Connect Team.
+
+## Hinweise zum Aufruf des API mit OAuth2
+
+Um das von ihnen gewünschte API im Rahmen ihrer Anwendung aufzurufen, Gehen sie wie folgt vor:
+
+
+
+Verfahrensschritte:
+
+1) Der Endbenutzer meldet sich an, die Clientanwendung sendet die Authentifizierungsanforderung an den Autorisierungsserver, um ein Zugriffstoken zu erhalten.
+
+2) Der Autorisierungsserver überprüft die Anforderung und generiert ein Zugriffstoken für den Client.
+
+3) Der Client verwendet dieses Zugriffstoken, um HTTP-Anforderungen an das API-Gateway zu senden.
+
+4) Das API-Gateway führt dann folgendes aus:
+ - Identifiziert die Anwendung anhand der client_Id.
+ - Überprüft das Token lokal oder remote, wenn es lokal nicht möglich ist.
+ - Überprüft, ob die angeforderte Ressource Teil des Bereichs im Token ist.
+
+Wurden alle Prüfschritte erfolgreich absolviert, wird die Anfrage an den Zustelldienst übergeben.
+
+Nach Bearbeitung der Anfrage im Zustelldienst wird die Antwort des Zustelldienstes an den Client zurückgesendet.
diff --git a/reference/callback.json b/reference/callback.json
index 5d5d34b80a8980f151057eed88b0210e95df1213..a5fba3c15803932b9e4e733d76a0d4b214d1ce2e 100644
--- a/reference/callback.json
+++ b/reference/callback.json
@@ -71,6 +71,19 @@
}
]
}
+ },
+ "example-2": {
+ "value": {
+ "destinationId": "123",
+ "applications": [
+ {
+ "applicationId": "456"
+ },
+ {
+ "applicationId": "789"
+ }
+ ]
+ }
}
}
}