Sim, para definir a vlan dinâmica você pode utilizar qualquer outro parâmetro que possa ser identificado durante o processo de autorização, como por exemplo:

-Grupo da máquina no Active Directory

-Atributo dentro de Certificado Digital

-Profiling da máquina (por exemplo, o sistema operacional)

O access-point pode ser autenticado utilizando EAP-FAST (usuário + senha) ou EAP-TLS (certificado digital), contudo, em um ambiente FlexConnect o modo de autenticação da porta do switch (onde o AP está conectado) deve ser configurado como "multi-host".

O ISE possui a função de Automatic Failover para os servidores de administração (PAN):

https://www.cisco.com/c/en/us/td/docs/security/ise/2-0/admin_guide/b_ise_admin_guide_20/b_ise_admin_guide_20_chapter_010.html#ID59

Deve ser criada uma política que permita com que novos usuário possam ter acesso limitado a rede, desta forma a equipe de suporte poderá inserir este dispositivo no domínio e assim a GPO realiza o deployment do certificado digital. Uma sugestão para esta politica seria a configuração de autenticação através de uma páquina web (CWA - Central Web Authentication) onde somente os usuários pertencentes ao grupo de suporte poderiam ser autenticados.

O ASA poder ser integrado ao ISE atrvés do TrustSec e desta forma o ASA poderá usufruir de regras baseadas em identidades utilizando tags TrustSec.

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a.html

O processo é composto por autenticação e depois autorização. Na autenticação o dispositivo tem que provar quem ele é e na autorização são validados os direitos de acesso deste dispositivo (o que ele pode fazer?).

Para este cenário o recomendado seria fazer um load sharing dos recursos:

Servidor 1 = PAN (Primário); MNT (Secundário); PSN

Servidor 2 = PAN (Secundário); MNT (Primário); PSN