ASAでSSL-VPNを使用しています。

AnyConnectとClientlessを使用しており、

Aliaseをそれぞれ[AnyConnect]/[Portal]として設定し、

ユーザはWEBブラウザでASAにアクセスし、ログイン画面のグループを選択することで

AnyConnectで接続するか、ポータルサイトに接続するかを切り替えています。

各ユーザはWindowsADのアカウントをLDAP認証で使用しており、

LDAP Attribute Mapで、ユーザが所属するグループによってVPNグループポリシーを振り分けて

VPNアクセスの許可/拒否を制限するように設定をしているのですが、

(VPN User -> VPN_GP / Local User -> NoAccess_GP)

Note: The memberOf attribute  corresponds to the group that the user is a a part of in the Active  Directory.

It is possible for a user to be a member of more than one  group in the Active Directory.

This causes multiple memberOf attributes to be sent by the server, but the ASA can only match one attribute to one group policy.

とある為、LDAP側で複数のグループに所属していても、

ASA側では１つのグループポリシーしか適用されないようで、、

AnyConnectとClientlessのグループポリシーに振り分けることができません。

試しに、１つのグループポリシーにAnyConnectとClientlessの両方の

プロファイルを割り当ててみましたが、上手く振り分けができないようです。

※Portalを選んで接続しても、AnyConnect接続画面が出てきてエラーで止まってしまうなど・・・

LDAP Attribute Mapでアクセスを制限しつつ、

AnyConnectとClientlessを切り替えて接続する方法で良いアイデアがあれば教えて頂けますでしょうか。

よろしくお願い致します。