Handling a custom SAML V2 extension for requesting attributes per request

[Simeon Maxein]

I am setting up a Shibboleth installation (both IdP and SP) to
participate in a federation which has specified a custom SAML V2
extension. The purpose of this extension is similar to an existing SAML
2 extension [1] but with slightly different syntax and behavior. It
allows an Authentication Request to specify which attributes the SP
wants, and to differentiate between attributes that are required and
optional. It also allows to specify a number of acceptable values for an
attribute. It references (but may also not be identical to) a mechanism
defined in TR03130 of the German BSI [2, chapter 4.10.2
"AuthnRequestExtension"].

In any case, it transfers the relevant data in a new element which goes
into the samlp:Extensions element of a samlp:AuthnRequest. On the IdP
side, that means I need to access this information in the my external
authentication flow, which will then be able to ask the user for consent
to pass on only a subset of their information. How can I get at it? Just
being able to access the raw XML of the samlp:Extensions element would
be good enough.

On the other side, how can I augment the AuthnRequests my SP sends to
include this custom extension? I'm currently triggering authentication
by redirecting the user to the /Login-endpoint of the SP, so I'd prefer
to pass the information about the requested fields in a query parameter
to that request as well.

I'm mostly looking for a pointer in the right general direction, so that
I don't start looking for solutions in the wrong places and only notice
so days later. Thanks already for your help.

Simeon Maxein

[1]
http://docs.oasis-open.org/security/saml-protoc-req-attr-req/v1.0/saml-protoc-req-attr-req-v1.0.html

[2]
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03130/TR-03130_TR-eID-Server_Part1.pdf?__blob=publicationFile&v=5

-- 
Simeon Maxein
Software Developer

Chamaeleon Aktiengesellschaft
für innovative Netzlösungen
Robert-Bosch-Straße 12
56410 Montabaur

Handelsregister: HRB 6685
Amtsgericht Montabaur
UST-ID: DE189988337

T: +49 (2602) 101 69-316
F: +49 (2602) 101 69-101
E: simeon.maxein at chamaeleon.de
I: https://www.chamaeleon.de/

Vorstand: Stefan Kux, Olaf Pohling
Aufsichtsratsvorsitzender: Reimer Steenbock

Pflichtinformationen gemäß Artikel 13 DSGVO
Im Falle des Erstkontakts sind wir gemäß Art. 12, 13 DSGVO verpflichtet, Ihnen
folgende datenschutzrechtliche Pflichtinformationen zur Verfügung zu stellen: Wenn Sie
uns per E-Mail kontaktieren, verarbeiten wir Ihre personenbezogenen Daten nur, soweit
an der Verarbeitung ein berechtigtes Interesse besteht (Art. 6 Abs. 1 lit. f DSGVO),
Sie in die Datenverarbeitung eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO), die
Verarbeitung für die Anbahnung, Begründung, inhaltliche Ausgestaltung oder Änderung
eines Rechtsverhältnisses zwischen Ihnen und uns erforderlich sind
(Art. 6 Abs. 1 lit. b DSGVO) oder eine sonstige Rechtsnorm die Verarbeitung gestattet.
Ihre personenbezogenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern,
Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung
entfällt (z. B. nach abgeschlossener Bearbeitung Ihres Anliegens). Zwingende
gesetzliche Bestimmungen – insbesondere steuer- und handelsrechtliche
Aufbewahrungsfristen – bleiben unberührt. Sie haben jederzeit das Recht, unentgeltlich
Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen
Daten zu erhalten. Ihnen steht außerdem ein Recht auf Widerspruch, auf
Datenübertragbarkeit und ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.
Ferner können Sie die Berichtigung, die Löschung und unter bestimmten Umständen die
Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen. Details
entnehmen Sie unserer Datenschutzerklärung
(https://chamaeleon.de/datenschutzerklaerung). Unseren Datenschutzbeauftragten
erreichen Sie unter datenschutzbeauftragter at chamaeleon.de.