TypeScript×CASLでつくるSaaSの認可 / Authz with CASL

Transcript

1. TypeScript×CASLでつくる SaaSの認可 2025.11.23 TSKaigi Hokuriku 2025 PeopleX / 坂津潤平, 芹澤和也

2. ⾃⼰紹介 株式会社 PeopleX PeopleX AI⾯接 エンジニア スタートアップ創業メンバー、 AbemaTVなどを経て、PeopleXに参 画。AI上司、AI面接などAI/HR領域の新規サービスを 12ヶ月で5

   本立ち上げ。 @2025 PeopleX Inc. 坂津 潤平 JUMPEI SAKATSU ❤サウナ, スプラトゥーン, 鬼滅の刃, ジブリ, ホラー作品 @saka2jp サ活だいすき坂津と覚えてください （サウナ活動） 2

3. ⾃⼰紹介 株式会社 PeopleX PeopleX AI⾯接 エンジニア 海外大学を卒業後、 Goodpatchをはじめ複数のスタートアップ企業 でモバイルアプリや SaaSプロダクトの開発に従事。

   2024年よりPeopleXでAIプロダクトのフロントエンドリード。 @2025 PeopleX Inc. 芹澤 和也 KAZUYA SERIZAWA ❤ ランチ、ボードゲーム、お喋り @seriseri_55 3

4. Agenda 1 BtoB SaaSにおける認可 2 今回の題材：PeopleX AI⾯接の場合 3 技術選定：認可SaaS vs

   OSSライブラリ 4 なぜCASLなのか？ 5 CASLによる認可実装 6 実際に導⼊・運⽤してみた感想 © PeopleX Inc. 4

5. 01 1. BtoB SaaSにおける認可 © PeopleX Inc. 5

6. 認可ロジックの分散リスク UI・API・DBでロジックが重複・散乱するとバグの温床に UI:⾒せない 権限のないボタンを⾮表⽰ API:させない 不正な操作をガード DB:引かない 他者のデータを取得しない © PeopleX

   Inc. 6

7. 認可の代表的なモデルのおさらい SaaS要件に応じて適切なモデルを選択する必要がある モデル 判定基準 特徴 RBAC (Role Based Access Control)

   役割 ・シンプルで直感的 ・「誰が何をできるか」を定義 ABAC (Attribute Based Access Control) 属性 ・「AかつBなら許可」のような複雑な条件を表現可能 ・きめ細やかな制御が可能 PBAC (Policy Based Access Control) ポリシー ・認可ロジックを分離、コード管理できる （Policy as Code） ReBAC (Relationship Based Access Control) 関係性 ・グラフ構造や階層構造に強い ・親リソースの権限を子へ継承させやすい 7

8. Demo デモ © PeopleX Inc. 8

9. 02 2. PeopleX AI⾯接の場合 © PeopleX Inc. 9

10. PeopleX AI⾯接 24時間365⽇対応の労働⼒ 柔軟な対話AIが⼈に代わり業務 個社に合わせた業務設定 ・24時間365日対応可能な労働力 ・夜間、土日での対応可能 ・マネジメント不要 ・全て録画と文字起こしで事後確認可 ・営業、接客など顧客接点の職種も可

    ・24時間365日で顧客対応でリード、商談対応 ・グローバル対応可能（多言語対応） ・受付、接客など会社の顔として振る舞い ・個社の需要に沿った質問カスタマイズ ・複数のAIワーカーを簡単に作成可 10

11. PeopleX AI⾯接 11

12. PeopleX AI⾯接の場合 ・要求に合わせてどの認可パターンで実装するかを決定 ・コストパフォーマンスやメンテナンス性などを考慮 代表的な要件 認可パターン適用 内容 テナント管理者はテナント設定 の操作のみ可能 RBAC

    「テナント管理者」というロールに最小の権限 を定義 評価担当者は「自部署」の応募 者のみ閲覧可能 ABAC 企業ユーザーの属性（部署 ID）とリソースの属 性を比較 評価担当者には個人情報（氏 名・生年月日など）を見せない Field Level 特定のフィールド（列）へのアクセス制御 12

13. 03 3. 技術選定：SaaS vs OSS © PeopleX Inc. 13

14. 主要な認可サービス (Authorization as a Service) @ 2025 PeopleX Inc. 1.

    Auth0 FGA ・Auth0 が提供する、Google Zanzibar に基づいた認可サービス ・特徴：Auth0 (Okta) エコシステムの⼀部であり、多機能 2. Oso Cloud ・開発者体験 (DX) を最優先に設計された、BtoB SaaS 開発で⼈気のあるサービスの⼀つ ・特徴：独⾃のポリシー⾔語「Polar」を使⽤。 3. Permit.io ・OPA (Open Policy Agent) をベースにしつつ、UIベースの管理に強みを持つサービス ・特徴：「ローコード」での権限管理を重視 / 権限設定を変更できる 管理UI を提供 14

15. 認可SaaS vs OSS 「コスト」「開発体験」「Prisma連携」「低レイテンシ」を重視し、OSSを採⽤ 認可SaaS ・権限管理基盤を完全分離 ・⾔語⾮依存で共有可能 ・通信オーバーヘッドあり ・従量課⾦コストのリスク ※

    セルフホストの選択肢もある OSSライブラリ ・アプリと同⼀プロセスで動作 ・DBクエリとの連携 ・⾔語・FWへの依存度が⾼い © PeopleX Inc. 15

16. 04 4. なぜCASLなのか？ © PeopleX Inc. 16

17. Why CASL？ © PeopleX Inc. Type Safety Isomorphic 定義したポリシーをフロントエンドとバックエンドの両⽅で再利⽤可能 Type

    Safety Type Safety ポリシーをTypeScript で宣⾔的に記述可能 Type Safety API Integration デコレータによるAPIレベルでの宣⾔的な認可設定が可能 TypeScript完全対応で型推論が強⼒ Database Integration SQLクエリ条件をポリシーとして宣⾔的に定義可能 TypeScript完全対応で型推論が強⼒ Frontend Integration 直感的・宣⾔的な認可判定が可能 17

18. 05 5. CASLによる認可実装 © PeopleX Inc. 18

19. @ 2025 PeopleX Inc. ・CASL における Ability は、認可ルールの⼼臓部となるクラス ・「誰が（Subject）」「何を（Action）」「どうする」という認可のルール、ポリシーを詰め込んだオ ブジェクト

    ・アプリケーション側では、「ability.can('update', 'Article')」 などと問いかけるだけで、  複雑な条件分岐なしに権限判定を⾏うことが可能 Abilityとは？ TypeScriptによるポリシー定義 19

20. 型定義とAbilityの構築 Prismaの型をそのままSubjectとして利⽤可能 © PeopleX Inc. 20

21. ポリシーファクトリ ポリシーを動的に定義（実際にはロールと権限のペアを別ファイルで宣⾔的に管理） © PeopleX Inc. 21

22. CASLによる認可フロー リクエスト受信からデータ取得までの⼀連の流れ STEP 1 UserContext取得 STEP 2 Ability⽣成 STEP 3

    Guard/Decorator判定 STEP 4 Prismaクエリ変換 © PeopleX Inc. 22

23. BE実装: APIレベルの制御 (NestJS) Guardとデコレータで宣⾔的に記述可能 © PeopleX Inc. 23

24. BE実装: Prisma CASL 公式の @casl/prisma プラグインを使⽤することで、 定義した Ability を Prisma

    の where句 として呼び出すだけ © PeopleX Inc. 24

25. BE実装: フィールドレベルの認可 permittedFieldsOf ヘルパーが利⽤可能 © PeopleX Inc. 25

26. FE実装: Canコンポーネント © PeopleX Inc. 26

27. FE実装: 関数呼び出し © PeopleX Inc. 27

28. 06 6. 実際に導⼊・運⽤してみた感想 © PeopleX Inc. 28

29. 導⼊してよかったポイント © PeopleX Inc. 1. TypeScriptによる認可ロジックの宣⾔的定義 2. Prisma 連携が強⼒ 3.

    開発者体験がよい 29

30. ⼯夫が必要なポイント © PeopleX Inc. 1. 複雑な条件の制御 2. 型定義の複雑さ 3. SQLの複雑化

    30

31. Summary まとめ © PeopleX Inc. 31

32. 32 ・・・に入る前に、宣伝 🙏

33. We are hiring!! @2025 PeopleX Inc. 6 https://engineer-entrance.peoplex.jp/

34. テックブログ @ 2025 PeopleX Inc. 29 https://zenn.dev/p/peoplex_blog

35. PeopleX HR momentum 2025 @2025 PeopleX Inc. https://corp.peoplex.jp/hr-momentum2025winter 2026年のHRトレンド、⼈事組織におけるAI活⽤など、年末を締めくくるイベント

36. Summary まとめ © PeopleX Inc. 36

37. @ 2025 PeopleX Inc. ・BtoB SaaSの認可は複雑 ・認可の導⼊をサポートしてくれるSaaSやOSSなどアプローチが複数ある ・組織やアーキテクチャに沿った技術選定をすることで、すばやく実装し、メンテナンス性⾼く維持するこ とができる ・TypeScript

    / Next.js / NestJS / Prisma を採⽤しているアーキテクチャにおいては、CASLが有⼒候補 まとめ① 37

38. @ 2025 PeopleX Inc. 正しい知識を元に、 状況に応じた最適な技術選定を⾏い、 プロダクトのコアバリューの開発に集中しよう まとめ② 38

39. 39