一度認証されても、APのボタンやリンク以外では画面遷移を行なえないようにするために下記の方法実装しました。
途中ページへの直接アクセスを防ぐには？
しかし、この方式では、javascriptによるopenwin時にページ表示できなくなってしまいました。このため、直接アクセス防止対策は見送りました。今後、考えられる案は、「Application_OnBeginRequest」イベントで、リクエストされたページとユーザの操作権とをマッピングしたテーブルを作成して制御する必要がありそうです。全ページを登録する必要がありそうですし、保守性悪そうだね。