Зачем так усложнять ?
но если очень надо то лучше использовать несколько IP для входа anyconnect. На один IP вешаете acl для нужных IP для доступа auditor , на другой доступ для it, dir.
ИЛИ
лучше ограничить доступ, через Group Policy со внутренним acl, для разрешенных хостов. То есть, для внешнего подключения разрешаете все подключения. А конкретно к группам доступа (Connection Profile) , привязываете политику с нужными ACL.