Em uma VPN de acesso remoto Cisco ASA, você não tem a opção de adicionar vários grupos de servidores AAA para um único perfil de conexão.
Como cada grupo de servidores AAA está limitado a um protocolo, você não pode ter os servidores de autenticação RADIUS e LOCAL válidos em um perfil de conexão.
A única maneira de fazer isso é para LOCAL ser o grupo de servidores AAA de fallback, mas como você sabe, o fallback somente se torna ativo se o ASA não puder se comunicar com o grupo de servidores AAA primário.
Para fazer o que você quer, sugiro criar um perfil de conexão que tenha o grupo de servidores RADIUS AAA e um segundo perfil de conexão que tenha o grupo de servidores LOCAL AAA.
Você pode usar a mesma política de grupo, atribuição de endereço e mapa de criptografia para ambos os perfis de conexão. A diferença é o nome do perfil de conexão e você precisará escolher o nome do perfil correto na tela de login do AnyConnect ou usar o arquivo PCF do Cisco VPN Client apropriado.
ATUALIZAÇÃO: Se você estiver tentando ter autenticação AAA para a VPN, mas não permitir que a autenticação LOCAL seja usada para a VPN, se o servidor AAA não estiver disponível, não ative o fallback no perfil de conexão VPN. link