補足です｡

ﾛｸﾞｲﾝ画面でIDとPassを入力し
DBのIDとPassが一致すればsessionを立てています｡

/**
* ﾛｸﾞｲﾝ判定
*/
public function isLogin() {
if (is_null($this->Session->read('loginFlg'))) {
$this->redirect(FULL_BASE_URL . INDEX);
}
}

/**
* ﾛｸﾞｱｳﾄ
*/
public function userLogout() {
if (isset($this->request->data['logoutFlg'])) {
$this->Session->delete('loginFlg');
$this->redirect(FULL_BASE_URL . INDEX);
}
}

ほかの方法もあるかもしれませんが...

管理画面用にｾｯｼｮﾝIDのようなもの(以下管理ｾｯｼｮﾝID)を生成し､管理画面内では定時間ごとにその管理ｾｯｼｮﾝIDをajaxでｸﾗｲｱﾝﾄと送受信し続け､その際､管理ｾｯｼｮﾝIDは毎回更新することで､管理画面が一つだけか判断できます｡

具体的には､

• ｸﾗｲｱﾝﾄは保存してある管理ｾｯｼｮﾝIDをｻｰﾊﾞに送ります｡
  • ただし､そのﾍﾟｰｼﾞでの初回は空文字など初回を表す所定のﾃﾞｰﾀを送ります｡
• ｻｰﾊﾞはｾｯｼｮﾝ変数に保存してある管理ｾｯｼｮﾝIDとｸﾗｲｱﾝﾄから送られてきた管理ｾｯｼｮﾝIDが等しいことを確認します｡
  • 等しくない場合､そのｱｸｾｽは前回の管理画面とは違う管理画面なので重複通知を返します｡
  • ただし､空文字など初回を表す所定のﾃﾞｰﾀの場合は重複としません｡
• ｻｰﾊﾞは新しい管理ｾｯｼｮﾝIDを生成してｾｯｼｮﾝ変数を更新し､ｸﾗｲｱﾝﾄへも送り返します｡
  • ただし､空文字など初回を表す所定のﾃﾞｰﾀの場合は更新せず前回と等しい管理ｾｯｼｮﾝIDを送り返します｡
• ｸﾗｲｱﾝﾄは送り返された管理ｾｯｼｮﾝIDを保存し､定時間待ちます｡
  • 重複通知が返されている場合は､画面の重複を知らせます｡
  
  

管理画面がｾｯｼｮﾝにつき一つである限り重複とは判断されません｡
また､ﾍﾟｰｼﾞ更新時､初回のajaxのｱｸｾｽだけは重複とはみなされません｡
通常のﾍﾟｰｼﾞ遷移であれば､この時点で前回の管理ｾｯｼｮﾝIDが返され､それを変更する画面もないので､次回からも正常に続行されます｡
通常のﾍﾟｰｼﾞ遷移ではなく､別画面で開かれた場合､初回のajaxのｱｸｾｽだけは重複とはみなされませんが､次回ｱｸｾｽまでの間に､元の別画面のﾍﾟｰｼﾞでajaxのｱｸｾｽが発生し､管理ｾｯｼｮﾝIDが別画面で更新されるため､新しいほうの画面では重複の通知が行われます｡

ただ､この方法では別画面を開いてから重複通知までﾀｲﾑﾗｸﾞが発生します｡
これは､ﾍﾟｰｼﾞにあるﾘﾝｸを､ｸﾘｯｸによる通常の画面遷移の場合のｱｸｾｽと､別画面を開く場合のｱｸｾｽとを､ｻｰﾊﾞ側で判別できないためです｡
そのため､ajaxを用いて､以前のﾍﾟｰｼﾞの表示が継続しているかどうかを検知するためにﾀｲﾑﾗｸﾞが発生します｡
ﾀｲﾑﾗｸﾞのため､次々にﾃﾝﾎﾟよく画面遷移されると重複を検知できません｡
重要な決定の場面ではajaxｱｸｾｽの一周期間ｳｴｲﾄして確認する必要があると思います｡

以上は1ｾｯｼｮﾝ1画面の場合ですが､1ﾕｰｻﾞ1画面にする場合､重複ﾛｸﾞｲﾝ自体を拒否するか､ｾｯｼｮﾝ変数ではなく､DB使ってﾕｰｻﾞｰﾃﾞｰﾀの一つとして1ﾕｰｻﾞ1管理ｾｯｼｮﾝIDとして扱ってください｡
この場合､同時に有効期限と通常のｾｯｼｮﾝIDも記録しておけば､別ｾｯｼｮﾝで重複はｾｯｼｮﾝIDが違うので即時わかります｡

ajaxでのﾁｪｯｸ間隔はｻｰﾊﾞ負荷とﾀｲﾑﾗｸﾞやｳｴｲﾄとの兼ね合いになると思います｡
あと､管理ｾｯｼｮﾝIDは予測不能である必要はないのでepoch timeとpidとかでよいと思います｡