答えはここにありました。

http://blogs.yahoo.co.jp/nhkpt100/59503613.html

でも、微妙にできね〜。　理由は不明。
だから、このページの「追記」の箇所の以下のように設定。

１．まず、さくらインターネットの説明を見ながら、「ユーザファイル」を作成
http://support.sakura.ad.jp/support/manual/rs/tech_htaccess.shtml#ht03

２．app/webroot の「.htaccess」を以下のように編集

<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]	
</IfModule>

<FilesMatch "^\basic認証をかけたいコントローラ名$"> (例： tests_controller.phpなら tests)
AuthUserFile <絶対パス>/app/webroot/　作成したユーザファイル名(例： .pass)
AuthName "BASCI DESUYO"
AuthType Basic
require valid-user
</FilesMatch>

やってみそ！