está muy bueno, el problema es lo de la IP ya que muchos usuarios pueden llegar a tener la misma IP gracias a los proxys, así que puedes validar que no haya cambiado la ip durante su sesión pero no restringir que más de 1 usuario se conecte con la misma ip, e allí el meollo del asunto, aunque por tu diagrama lo que te acabo de indicar no esta representado, por ende tu diagrama se adapta bien a las necesidades.

Hola, una pregunta, los intentos fallidos y el bloqueo de usuario lo haces con sesiones o base de datos ?