Опции аутентификации пользователя Cisco ASA - OpenID, общедоступный сигнал RSA, другие?

Я не думаю, что Вы сможете использовать OpenID, но в большей части случая ASA будет взаимодействовать с Radius или Tacacs +, сервер (Cisco ACS, например) и этот сервер будут взаимодействовать с Вашим аутентификатором (Active Directory, сервер RSA...).
Radius/Tacacs + сервер затем действуют как прокси аутентификации.

Cisco ASA будет поддерживать много протоколов групп серверов AAA включая LDAP и NTLM v1 (Домен NT). Ссылка для Руководства по конфигурированию, если кому-либо интересно.

Но, так как у Вас уже есть выполнение VPN Без клиента, необходимо смочь использовать ту же группу серверов AAA для Клиентских соединений VPN. В ASDM Профили подключения должны быть перечислены и под Clientless и под Client.

Одним интересным методом аутентификации для ASA являются "Формы HTTP". Это берет имя пользователя/пароль от пользователя и отправляет его произвольному веб-сайту, затем ищет соответствующий cookie в ответе. Это могло соответствовать вполне хорошо сайту OpenID, хотя я никогда не пробовал его.

На cisco.com есть некоторая документация об использовании PKI для аутентификации VPN, однако я не видел ничего для аутентификации на основе пары ключей RSA.

OpenID-LDAP может показаться противоположным тому, что вы пытаетесь сделать.

После кофе я думаю, что то, что вы пытаетесь сделать, имеет врожденную проблему. ASA предназначен для аутентификации (подтверждения того, кто вы есть), а также авторизации (подтверждения того, к чему у вас есть доступ), но с OpenID аутентификация уже выполнена, и вы просто выполняете авторизацию.