# Ableitung PA mit Autent-SDK ## Das folgende Diagram zeigt den Ablauf der Ableitung des PA in das Wallet bei ONCE ###### tags: `workflow diagram` `eID diagrams` Wir sollten den integrated Flow und eventuell den Authorization Code Flow darstellen > [name=GOVHB-DE]**Achtung Work In Progess!** ```plantuml actor "User" as USER participant "ONCE Wallet" as APP participant "SDK der AusweisApp2" as SDK participant "SSI-Provisioning Service" as PS participant "ID Gateway" as IGD participant "eID-Service" as AUTENT autonumber USER->APP: Create SSI-Credential from PA APP->PS: Start SSI-Credential Process PS->APP: tcTokenURL note over APP, PS Die App muss dem SDK übermitteln, wie die tcTokenURL ist. Der tcToken-Mechanismus ist in den BSI TR 03124 und 03130 erklärt end note APP->SDK: Call SDK with tcTokenURL group SDK-Ablauf group eID-Schritt-1 APP->SDK: cmd RUN_AUTH(tcTokenURL) APP<-SDK: msg AUTH APP<-SDK: msg ACCESS_RIGHTS note over APP,SDK Berechtigungszertifikat und Datenfelder end note APP<->USER: Anzeige Berechtigungszertifikat APP->SDK: cmd ACCEPT APP<-SDK: msg INSERT_CARD APP<->USER: Prompt user to present ID card APP<-SDK: msg ENTER_PIN/CAN APP<->USER: Abfrage PIN/CAN APP->SDK: cmd SET_PIN/CAN end group eID-Schritt-2 SDK<->AUTENT: eID PAOS Communication APP<-SDK: msg AUTH (redirectURL) note over SDK,PS Am Ende des eID-Schritt-2 liegen die Daten im SSI-Provisioning Service end note end APP->PS: Aufruf redirectURL end APP->USER: Hinweistext in App ```