AWS Cognitoの認証認可のフローについて

aws cognito について調べていたら、IDトークン、アクセストークン、アプリクライアント等の単語が出てきて
分からなかったので私の認識を皆さんに確認してもらいたく質問いたしました。

行いたいことはWebブラウザ上からログイン画面で認証（Cognito user pool）認可（Cognito identity pool）を行い、
バックエンドのS3等を触ることです。
その際の認証認可フローを確認したいです。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
①webブラウザからログインする。
↓
②IDプロバイダー（＝Cognitoユーザープール？）からIDトークン、アクセストークン生成。
↓
③webブラウザにIDトークン、アクセストークンが返ってくる。
↓
④IDトークンをCognito ID poolに送る。
↓
⑤Cognito ID poolからSTSで一時クレデンシャルを発行。
↓
⑥一時クレデンシャルによって認可されているバックエンドのS3等に入れる。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

以上が私が考えるフローです。
アプリクライアントについて良くわかりませんが、ログインサインアップなどの
認証を必要としないapi操作を設定するものだと考えています。
IDプロバイダーはユーザープールのことを指していると思いますが、誤りでしょうか？

指摘や、参考サイト、調べたほうが良い単語など、よろしくお願いいたします。