「deviseを使ってみる」の続きです。
ユーザーの権限付与に便利なCanCanCanを導入してみました。
公式Github→https://github.com/CanCanCommunity/cancancan#readme

Gemfileの更新

+ gem 'cancancan'

bundle install

ちなみにbundle installと、updateの違いがいまいちよく分かっていませんでしたが、簡単に記述すると、

• install: Gemfile.lockを参照してGemをインストールする。
• update: Gemfile.lockを参照せずにインストールする。

詳しい解説は、下記の記事にて記載されていますが、基本的にはbundle installを使用する方が良いようです。
（bundle install と bundle updateの違いについて）

roleカラムの追加

deviseでデフォルト作成されるテーブルを使用していたため、そこにroleという権限を管理するカラムを追加します。
カラムの追加なので、マイグレーションファイルを作成します。

rails g migration add_role_to_admin_users role:integer

そして、生成されたマイグレーションファイルを以下のように修正し、rails db:migrateします。

class AddRoleToAdminUsers < ActiveRecord::Migration[5.0]
  def change
    add_column :admin_users, :role, :integer, null: false, default: 2
  end
end

権限のカラムはINT型でデータを保管するようにしました。
2の定義は後ほど実施していきます。

余談ですが、SQLite、PostgreSQLでは、カラムを指定位置に追加することができないようです。

• SQLite3でカラムを追加する
• postgresqlでadd_columnのafterが効かない

モデルの修正

新しいカラムを作成したので、モデルを修正します。
enumを使用し、この文字列ならばこの数値をDBに入れるよう定義します。

+ enum role: { admin: 1, member: 2 }

Abilityクラスの作成

CanCanCanでキモとなるAbilityクラスを作成します。
とはいえ、rails genereteを使用します。

rails g cancan:ability

これで、app/models/ability.rbが作成されます。
デフォルトではinitializeがあるものの、特に記載がないため、今回の条件に合わせておきます。
なお、今回はadminとmemberの2つの権限を作り、adminは全て実行可能、memberはリードオンリーなイメージとします。
2017-05-28 追記
ShoheiNakano様よりご指摘をいただいた項目を修正しました。
（今回はAdminUserモデルを使用しているため、AdminUser.newになります。）
合わせて、引数もadmin_userに修正しました。

class Ability
  include CanCan::Ability

  def initialize(admin_user)
    admin_user ||= AdminUser.new
    if admin_user.admin?
      can :manage, :all
    end

    if admin_user.member?
      can :read, :all
    end
  end
end

権限には基本5種類あり、adminにはmanageを、memberにはreadを割り当てました。

• read: 読み込み
• create: 新規作成
• update: 更新
• destroy: 削除
• manage: 全て

canの後に許可したい権限を指定し、第2引数で許可する場所を指定します。
今回はまだページもないので、allとしました。
こちらの記事が非常に詳しく記載しております。
How to use CanCan / CanCanCan

テスト用にビューを修正

権限付与のテストのため、以下をビューに追記します。

+ <% if can? :update, current_admin_user %>
+   <h1>You can update</h1>
+ <% end %>
+ <% if can? :read, current_admin_user %>
+   <h1>You can read member</h1>
+ <% end %>

can?メソッドで権限を確認し、その権限が第2引数で渡されたユーザーにあれば、trueを返します。

なお、このcan?を利用する際は、暗黙的に以下が呼ばれます。

def current_ability
  @current_ability ||= Ability.new(current_user)
end

私の場合ですが、今回deviseにてAdminUserモデルを作成してしまった関係上、current_userではなく、current_admin_userを引数にとってもらいたいです。

その場合はオーバーライドします。

+ def current_ability
+    @current_ability ||= Ability.new(current_admin_user)
+ end

実際に試してみる

まずは、roleの値が2のユーザーで試すと、（member）

のみが表示されます。
ここで、roleの値を1に変えると、（まだ編集機能などはないので、テーブルを直接書き換えて）

updateとreadの両方が表示されます。
1にはmanageにより全権限があるため、readでもupdateでもtrueが返されます。

deviseで新規登録する際にroleも登録する

ここからはdeviseを使用している場合になります。
新しくroleカラムを追加したので、ストロングパラメータに追加してあげる必要があります。

+ before_action :configure_permitted_parameters, if: :devise_controller?

# 省略

+ private
+   def configure_permitted_parameters
+       devise_parameter_sanitizer.permit(:sign_up, keys: [:role])
+   end

今回のケースに限らず、カラムを追加したい場合はこのようにするようです。
deviseの公式Github→https://github.com/plataformatec/devise#readme

そして新規登録の際の入力フォームに追記します。（今回は登録のみ修正します。）

+ <div class="field">
+   <%= f.label :role %><br />
+   <%= f.select :role, {'administer' => 'admin', 'member' => 'member'}, {selected: 'member', include_blank: false}, {autofocus: 'true', class: 'form-control'} %>
+ </div>

form_forのselectを利用して、以下のようなHTML文を出力しています。
enumにより、adminを渡せば1が、memberを渡せば2がDBに入るようになっています。

<select id="admin_user_role" name="admin_user[role]">
    <option value="admin">administer</option>
    <option value="member" selected>member</option>
</select>