はい御座います。

ArubaではRoleと呼ばれる識別子にACLを割り当て、
認証後そのRoleをユーザに割り当てることが可能です。

制御できるものとしては通常のFirewallと同様に、
・送出元IPアドレス
・宛先IPアドレス
・プロトコル（HTTPやメール、FTPなど）
となります。

Roleの役割としては、
・User Group名を定義する
・使用するACLを定義する
・VLAN IDを割り振る
・（RADIUSの場合）指定したAttributeをRole名と一致させる
となります。

たとえば、
Userが認証をする
→Aruba ControllerがRADIUSサーバにForwardする
→RADIUSサーバは「認証成功」とともにAttribute内に値を追加して送出
→Aruba ControllerはAttribute内の値をもとに Role名を検索し、Roleを割り当てる、
という流れになります。