WikiにPDFが幾つか公開されていて，それを眺めていて気づいたのだけど，概要の1-5の図って間違ってる気がする．ここではSAML V2.0って書いてるから恐らくShibboleth 2.xのことを描いてると思うのだけど，5,6のバックチャンネルでの属性交換があったのは1.xの話．まだ2.xを理解している訳じゃないので間違っているかもしれないが，2.xからは認証アサーションが発行される時，それに属性がくっついてくるはず．それをSPのACSが処理した後，内部でフィルタとか展開とかほげほげして，値をエクスポートしてユーザに返し処理は終わり，がデフォルトの動作(と理解している)．
SPにもAttributeResolverとかそれっぽいのがあるんだけど

Indicated by type="Query", issues a SAML attribute query back to the IdP that issued a SSO assertion if no attributes are pushed.

https://spaces.internet2.edu/display/SHIB2/NativeSPAttributeResolver

て書かれてるから恐らくデフォルトでは動かない．俺が後ろで出来る設定を見つけれてないのか分からないけど，ポリシーによって属性が与えられないことはほぼないはずなので，あの図は動作説明としては適切じゃない気がする．確信まで持って行くことが出来ないのが俺のヘボい所かも^^;