Я не думаю, что Вы сможете использовать OpenID, но в большей части случая ASA будет взаимодействовать с Radius или Tacacs +, сервер (Cisco ACS, например) и этот сервер будут взаимодействовать с Вашим аутентификатором (Active Directory, сервер RSA...).
Radius/Tacacs + сервер затем действуют как прокси аутентификации.
Cisco ASA будет поддерживать много протоколов групп серверов AAA включая LDAP и NTLM v1 (Домен NT). Ссылка для Руководства по конфигурированию, если кому-либо интересно.
Но, так как у Вас уже есть выполнение VPN Без клиента, необходимо смочь использовать ту же группу серверов AAA для Клиентских соединений VPN. В ASDM Профили подключения должны быть перечислены и под Clientless и под Client.
Одним интересным методом аутентификации для ASA являются "Формы HTTP". Это берет имя пользователя/пароль от пользователя и отправляет его произвольному веб-сайту, затем ищет соответствующий cookie в ответе. Это могло соответствовать вполне хорошо сайту OpenID, хотя я никогда не пробовал его.
На cisco.com есть некоторая документация об использовании PKI для аутентификации VPN, однако я не видел ничего для аутентификации на основе пары ключей RSA.
OpenID-LDAP может показаться противоположным тому, что вы пытаетесь сделать.
После кофе я думаю, что то, что вы пытаетесь сделать, имеет врожденную проблему. ASA предназначен для аутентификации (подтверждения того, кто вы есть), а также авторизации (подтверждения того, к чему у вас есть доступ), но с OpenID аутентификация уже выполнена, и вы просто выполняете авторизацию.